creen que son un riesgo para los datos personales

La advertencia llegó desde el gobierno federal: el uso de sistemas de gestión de contenidos (CMS) de licencia libre, combinados con complementos y plantillas genéricas, se ha convertido en un vector recurrente de vulneraciones de datos personales. El tema no es nuevo en el mundo de la ciberseguridad, pero sí lo es el alcance del mensaje y las posibles consecuencias legales que ahora se asoman en México.

Según un comunicado de la Secretaría Anticorrupción y Buen Gobierno, titulado “Buen Gobierno advierte sobre riesgos por utilizar sistemas de gestión de contenidos de licencia libre con complementos y plantillas genéricas”, la dependencia ha iniciado más de 20 investigaciones por presuntas vulneraciones de datos personales vinculadas a este tipo de tecnologías. El problema central, advierte la autoridad, es que muchas de estas soluciones no permiten un control total sobre su desarrollo ni sobre la seguridad de la información que procesan.

La Secretaría señala que estas plantillas y complementos genéricos presentan vulnerabilidades “fácilmente explotables”, capaces de comprometer datos personales y afectar la esfera más íntima de las personas. Se trata, además, de la primera ocasión en que la autoridad emprende acciones de esta magnitud, las cuales podrían derivar en sanciones administrativas e incluso penales.

Plugins, temas y el talón de Aquiles del ecosistema CMS

La advertencia del gobierno mexicano encuentra eco en lo que ocurre a nivel internacional. De acuerdo con National Cybersecurity Authority, se han identificado miles de vulnerabilidades críticas en WordPress, uno de los CMS más usados del mundo. En concreto, 7,633 vulnerabilidades, el 96% del total, se concentran en plugins, mientras que 326 se encuentran en temas, y solo una fracción menor afecta al núcleo del sistema.

Estos fallos permiten desde accesos no autorizados y escalamiento de privilegios, hasta ejecución remota de código, lo que abre la puerta a filtraciones masivas de datos y al control total de sitios web. Por ello, la recomendación es clara: aplicar parches de seguridad, mantener actualizaciones al día y contar con respaldos antes de cualquier cambio.

Buen Gobierno también reconoce la necesidad de actualizar el marco legal de protección de datos personales, que en lo sustantivo no ha cambiado en más de 15 años. Además, se detectaron irregularidades en procedimientos que el extinto INAI reportó como concluidos, incluyendo sanciones que nunca se ejecutaron, lo que habría generado un esquema de impunidad.

Vulnerabilidades conocidas, riesgos repetidos

Según TechBullion, el uso extendido de CMS populares los convierte en objetivos prioritarios para atacantes. Entre las fallas más comunes se encuentran el uso de software obsoleto, autenticación débil, controles de acceso deficientes, inyecciones SQL, ataques XSS y cargas de archivos sin protección. A esto se suman ataques de fuerza bruta y la falta de copias de seguridad, que pueden convertir un incidente en un desastre irreversible.

El común denominador es la mala gestión: plugins abandonados, temas sin soporte y configuraciones por defecto que nunca se revisan. En muchos casos, el problema no es el CMS en sí, sino cómo se implementa y mantiene.

¿Todo el software libre es inseguro? No necesariamente

Aquí es donde el debate se vuelve más interesante. De acuerdo con GitGuardian, Drupal impulsa más del 55% de los sitios web del gobierno de Estados Unidos y tiene fama de ser extremadamente seguro, gracias a una comunidad activa que publica parches y alertas de forma constante. El principio clave es no modificar el núcleo, contar con un buen proveedor de hosting y seguir prácticas estrictas de seguridad.

Incluso se han explorado enfoques como sitios web estáticos generados desde CMS, que reducen drásticamente la superficie de ataque al eliminar bases de datos expuestas.