Estadísticas de campaña
Dos operaciones OSINT simultáneas: Crystal Vault (enumeración federal API) y una Campaña de exposición .git — contra la infraestructura gubernamental, académica, de medios y a nivel estatal de México produjo los siguientes resultados agregados.
64GB
Datos federales reflejados
17
Conjuntos de credenciales en vivo
186 millones+
Registros estimados
177
Agencias federales expuestas
520K+
Registros críticos PII
37+
Identidades de desarrollador
7
Repositorios de Git descubiertos
4,968
Gravatar Hashes
Informe de evaluación interactivo completo
Explore la Evaluación completa de infraestructura del gobierno de México con gráficos interactivos y desgloses detallados.
Ver informe
Un comando de rizo
Comenzó con una sola línea en una terminal.
curl -s https://repodatos.atdt.gob.mx/api_update/
La respuesta no fue un error. No era una página de inicio de sesión. fue un listado de directorio de 177 agencias federales — cada conjunto de datos publicado por cada ministerio, regulador y organismo público conectado a la plataforma nacional de datos abiertos de México.
ATDT - el Agencia de Transformación Digital y Telecomunicaciones (Agencia para la Transformación Digital y las Telecomunicaciones) — es el brazo tecnológico centralizado del gobierno mexicano. Gestiona el depósito de datos federal en repodatos.atdt.gob.mx, una plataforma diseñada para agregar y distribuir conjuntos de datos de todo el poder ejecutivo. El API transmitió en vivo. Los puntos finales fueron indexados. No había autenticación, ni limitación de velocidad, ni controles de acceso de ningún tipo.
Cada carpeta de agencia contenía metadatos estructurados, enlaces directos a archivos CSV y, en muchos casos, mapas API completos que describían cada parámetro y punto final disponibles. Lo que se suponía que era una plataforma de distribución de datos controlada era, en la práctica, un archivador abierto al que se le había quitado la cerradura.
No se requirieron credenciales. No se utilizaron exploits. No se eludió ninguna condición de servicio. El API era público por diseño o por negligencia. El resultado fue el mismo.
Objetivos comprometidos
Siete objetivos en los sectores del gobierno federal, el gobierno estatal, el académico, el electoral y los medios de comunicación se vieron comprometidos a través de dos vectores: acceso no autenticado API y exposición .git/ directorios en servidores de producción.
repodatos.atdt.gob.mx
Federal API — Agencia de Transformación Digital y Telecomunicaciones
Vector: No se requiere autenticación
Datos: 64 GB, 177 agencias
Archivos: 186 millones+ estimados
Estado: AÚN VIVO
uaem.mx
Universidad — Universidad Autónoma del Estado de Morelos
Vector: exposición .git
Cartas credenciales: 2 (MySQL+SMTP)
Datos: 960 MB, 11.605 archivos
ieeq.mx
Electoral Estatal — Instituto Electoral del Estado de Querétaro
Vector: exposición .git
Cartas credenciales: 4 (PostgreSQL + 2 MySQL)
Datos: Metadatos de Git + credenciales
ss.puebla.gob.mx
Salud del Estado — Secretaría de Salud del Estado de Puebla
Vector: exposición .git
Cartas credenciales: 1 (MySQL) + secreto de Joomla
Datos: WordPress/Configuración de Joomla
elsiglodetorreon.com.mx
Periódico — El Siglo de Torreón
Vector: exposición .git
Cartas credenciales: 8 MySQL + SMTP + tokens
Datos: Fuente completa de la aplicación
fiscalia.durango.gob.mx
Fiscalía del Estado — Fiscalía del Estado de Durango
Vector: exposición .git
Cartas credenciales: 0 (wp-config gitignorado)
Datos: Metadatos de Git, IP interna
mvs.com
Media Corp — Grupo MVS
Vector: exposición .git
Cartas credenciales: 0
Datos: 13 archivos, mapa de estructura corporativa.
Conjuntos de datos críticos PII
El API federal en repodatos.atdt.gob.mx sirvió conjuntos de datos que contienen información de identificación personal para aproximadamente 186 millones de registros. Los siguientes conjuntos de datos representan las exposiciones más sensibles, organizadas por gravedad.
Archivos: ~60,000,000
Tamaño: 12,3GB
Datos completos del registro de nacimientos de la población mexicana. Contiene identificadores personales que abarcan décadas de registro civil. El conjunto de datos PII más grande de la colección.
CURP: [ELIMINADO] Nombre: [ELIMINADO] Fecha de nacimiento: 1985-03-15 Estado: Jalisco
CURP: [ELIMINADO] Nombre: [ELIMINADO] Fecha de nacimiento: 1992-08-22 Estado: CDMX
CURP: [ELIMINADO] Nombre: [ELIMINADO] Fecha de nacimiento: 2001-11-07 Estado: Nuevo León
Archivos: ~25,000,000
Tamaño: 6,1 GB
Datos completos del registro de defunciones. Combinado con registros de nacimiento, permite un mapeo completo de la identidad del ciclo de vida de los ciudadanos mexicanos fallecidos, un conjunto de datos de alto valor para el fraude de identidad.
CURP: [ELIMINADO] Nombre: [ELIMINADO] DOD: 2019-06-11 Causa: [ELIMINADO]
CURP: [ELIMINADO] Nombre: [ELIMINADO] DOD: 2021-01-23 Causa: [ELIMINADO]
CURP: [ELIMINADO] Nombre: [ELIMINADO] DOD: 2022-09-05 Causa: [ELIMINADO]
Archivos: ~6,000,000
Tamaño: 1,7GB
CURP (clave de identidad nacional), RFC (identificación fiscal), nombres completos y números de teléfono del personal y contactos de los centros educativos en todo México.
CURP: [ELIMINADO] RFC: [ELIMINADO] Nombre: [ELIMINADO] Teléfono: 33-XXXX-XXXX
CURP: [ELIMINADO] RFC: [ELIMINADO] Nombre: [ELIMINADO] Teléfono: 81-XXXX-XXXX
CURP: [ELIMINADO] RFC: [ELIMINADO] Nombre: [ELIMINADO] Teléfono: 55-XXXX-XXXX
Archivos: 464,153
Tamaño: 69 megas
RFC (NIF) + nombres completos + direcciones físicas + números de teléfono + direcciones de correo electrónico. El RFC es equivalente en sensibilidad a un número de Seguro Social de EE. UU. Exposición completa de la identidad de cada persona incluida en la lista.
RFC: XXXX800101XX1 Nombre: [ELIMINADO] Teléfono: 55-XXXX-XXXX
RFC: XXXX750315XX2 Nombre: [ELIMINADO] Correo electrónico: [ELIMINADO]@gmail.com
RFC: XXXX910422XX3 Nombre: [ELIMINADO] Dirección: [ELIMINADO], CDMX
Archivos: ~100,000
Tamaño: 22 megas
Registro de personas que reciben tratamiento antirretroviral. Información de salud protegida de la categoría más sensible: la exposición crea riesgo de discriminación, violencia y daño social.
ID del paciente: [ELIMINADO] Tratamiento: Estado antirretroviral: Activo
ID del paciente: [ELIMINADO] Tratamiento: Estado antirretroviral: Activo
ID del paciente: [ELIMINADO] Tratamiento: Estado antirretroviral: Inactivo
Archivos: ~2,000,000
Tamaño: 424 megas
Datos nacionales de incidencia delictiva desglosados por municipio. Estadísticas granulares de delincuencia en todos los estados y municipios de México del sistema nacional de seguridad pública.
Municipio: [ELIMINADO] Tipo: Homicidio Doloso Año: 2023 Conteo: 47
Municipio: [CENSURADO] Tipo: Robo a Vehiculo Año: 2023 Conteo: 312
Municipio: [CENSURADO] Tipo: Secuestro Año: 2022 Conteo: 8
Archivos: ~50,000+
Registro federal de víctimas mantenido por la Comisión Ejecutiva de Atención a las Víctimas (CEAV). Contiene registros de personas registradas como víctimas de delitos a nivel federal.
Identificación de la víctima: [ELIMINADO] Crimen: Desaparición Forzada Estado: Tamaulipas
Identificación de la víctima: [ELIMINADO] Crimen: Homicidio Estado: Guerrero
Identificación de la víctima: [ELIMINADO] Delito: Extorsión Estado: Jalisco
Archivos: ~700,000
Tamaño: 175 megas
Hechos migratorios irregulares registrados por las autoridades migratorias mexicanas. La exposición pone en peligro a las poblaciones migrantes vulnerables y revela patrones de aplicación de la ley.
ID del evento: [ELIMINADO] Nacionalidad: Honduras Ruta: [ELIMINADO] Año: 2023
ID del evento: [ELIMINADO] Nacionalidad: Guatemala Ruta: [ELIMINADO] Año: 2022
ID del evento: [ELIMINADO] Nacionalidad: Venezuela Ruta: [ELIMINADO] Año: 2023
Archivos: ~1,300,000
Tamaño: 257 megas
Registros de procesamiento de inmigración que incluyen solicitudes de visa, permisos y procedimientos administrativos en las oficinas de inmigración mexicanas.
Tramite: [CENSURADO] Tipo: Visa Oficina Temporal: CDMX Estatus: Aprobado
Tramite: [CENSURADO] Tipo: Residencia Permanente Oficina: Cancún Estado: En Proceso
Tramite: [CENSURADO] Tipo: Permiso Trabajo Oficina: Tijuana Estado: Aprobado
Archivos: ~4,500,000
Tamaño: 907 megas
Datos de adquisiciones federales, incluidos nombres de proveedores y valores de contratos por un total aproximado 130 mil millones de dólaresy patrones de compras gubernamentales en todas las agencias federales.
Contrato: [CENSURADO] Proveedor: [CENSURADO] S.A. de C.V. Valor: $2,450,000 MXN
Contrato: [CENSURADO] Proveedor: [CENSURADO] S.A. de C.V. Valor: $18,700,000 MXN
Contrato: [CENSURADO] Proveedor: [CENSURADO] S.A. de C.V. Valor: $890,000 MXN
Archivos: 809
Nombres completos, asignaciones de agencias y detalles de sanciones para funcionarios federales declarados formalmente corruptos o en violación de las regulaciones de servicio público. Incluye a Emilio Lozoya Austin (PEMEX/Odebrecht).
Nombre: [ELIMINADO] Agencia: PEMEX Sanción: Inhabilitación Duración: 10 años
Nombre: [ELIMINADO] Agencia: CFE Sanción: Destitución Duración: Permanente
Nombre: [ELIMINADO] Agencia: IMSS Sanción: Suspensión Duración: 3 años
Archivos: 1,396
Registro completo de notarios federales que incluye nombres completos, números de licencia y direcciones completas de las oficinas. Los notarios son objetivos de alto valor para el crimen organizado que busca legitimar adquisiciones de propiedades o falsificar documentos corporativos.
Licencia: [ELIMINADO] Nombre: Lic. [ELIMINADO] Oficina: Av. [ELIMINADO], CDMX
Licencia: [ELIMINADO] Nombre: Lic. [ELIMINADO] Oficina: Blvd. [ELIMINADO], Monterrey
Licencia: [ELIMINADO] Nombre: Lic. [ELIMINADO] Oficina: Calle [ELIMINADO], Guadalajara
SAT — 464,153 Contribuyentes
El Servicio de Administración Tributaria (SAT) —La autoridad tributaria de México—fue la fuente más grande de información de identificación personal en la colección. Cinco conjuntos de datos en total 69 megas de datos estructurados expusieron los registros fiscales de casi medio millón de personas y organizaciones.
SAT_1_Donatarias
10.798 registros
Organizaciones benéficas autorizadas con RFC + razón social + teléfono + correo electrónico + dirección física + representante legal. Registro completo de todas las entidades en México autorizadas para recibir donaciones deducibles de impuestos.
SAT_3_Sentencias
311 registros
Condenas fiscales: personas físicas con RFC que hayan recibido sentencia judicial firme por delitos fiscales.
SAT_4_Nolocalizados
39.453 registros
Contribuyentes no ubicados: personas naturales y jurídicas con nombres RFC+ que el SAT no ha podido ubicar físicamente para fines de aplicación de la ley.
SAT_5_Empresas
177.807 registros
Deudas tributarias finales: personas naturales y jurídicas con RFC + nombres completos que tengan obligaciones tributarias confirmadas e inapelables.
SAT_7_Cancelados
120.276 registros
Estado tributario cancelado — RFC + nombres de los contribuyentes cuyo registro fiscal ha sido revocado formalmente por el SAT.
464.153 contribuyentes. Nombres, números de identificación fiscal, direcciones, números de teléfono. Servido como CSV plano desde un API no autenticado. Un comando curl por archivo.
Exposición de nómina de la UAEM
La exposición .git en uaem.mx (Universidad Autónoma del Estado de Morelos) recuperó 11,605 archivos con un total de 960 MB de código fuente de producción, incluidas bases de datos de estudiantes PII, directorios de personal y datos completos de nómina. Los archivos de nómina revelan remuneraciones quincenales por un total de más de $60 millones de pesos por período (datos de 2019).
Confianza / Gestión
$18M MXN
Base sindicalizada
$8.2M MXN
Eventual Sindicado
$1.5M MXN
Jubilados / Pensionistas
$900 mil pesos
Total por período quincenal
>$60M MXN
Material recuperado adicional de la UAEM incluye: base de datos de estudiantes PII (SOLICITUD_CONSTANCIAS tabla con nombres completos, correos electrónicos, identificaciones de estudiantes, calificaciones y especialidades), directorios de personal, directorio telefónico de TI, sistema de procesamiento de pagos, sistema de votación electrónica, sistema de licencia profesional, sistema de generación de títulos y configuración completa de Apache con reglas de enrutamiento. El único desarrollador: Rafael Fragoso ([email protected], GitHub: norgoth): tenía acceso de root y se implementó directamente en producción.
SFP — 809 funcionarios sancionados
El Secretaría de la Función Pública (SFP) — Secretaría de la Función Pública de México — mantiene el registro oficial de funcionarios gubernamentales sancionados. El conjunto de datos expuesto a través de ATDT contenía 809 registros de empleados federales que habían sido sancionados formalmente por corrupción, mala conducta o violaciones administrativas.
Cada registro incluía el nombre completo del funcionario, la agencia a la que prestaba servicios, el tipo de sanción impuesta y la duración de su inhabilitación para el servicio público. Las sanciones abarcaron desde suspensiones temporales hasta prohibiciones permanentes de empleo en el gobierno.
Entre los nombres: Emilio LozoyaAustin, ex director ejecutivo de PEMEX (Petróleos Mexicanos), la petrolera estatal de México. Lozoya estaba en el centro de la Escándalo Odebrecht — una operación de soborno a nivel continental en la que el conglomerado constructor brasileño pagó 10,5 millones de dólares en sobornos para conseguir contratos con PEMEX. Lozoya fue arrestado en España en 2020, extraditado a México y se convirtió en testigo cooperante cuyo testimonio implicó a expresidentes y altos funcionarios.
La lista de sanciones de la SFP es, en esencia, un registro público de todos los funcionarios federales que el gobierno mexicano ha declarado formalmente corruptos. El hecho de que se haya entregado sin autenticación desde un API abierto es consistente con el patrón en toda la plataforma ATDT: datos que conllevan consecuencias reales para personas reales, tratados como si fueran una fuente meteorológica.
INDAABIN — 1,396 Notarios Federales
El Instituto de Administración y Avalúos de Bienes Nacionales (INDAABIN) (el instituto federal responsable de la valoración y gestión nacional de propiedades) aportó uno de los conjuntos de datos más inusuales de la colección: el registro completo de 1,396 notarios federales.
Cada registro contenía el nombre legal completo del notario, el número de licencia, la dirección de la oficina y la jurisdicción. Los notarios federales en México son actores críticos en transacciones de propiedad, constituciones de empresas y certificaciones legales. Sus identidades y ubicaciones no se anuncian públicamente con este nivel de detalle, o no se suponía que lo hicieran.
La exposición de un registro notarial completo crea un perfil de riesgo específico. Los notarios son objeto de coerción por parte de grupos del crimen organizado que buscan legitimar adquisiciones de propiedades, falsificar documentos corporativos o lavar dinero a través de bienes raíces. Una lista masiva de todos los notarios federales, las direcciones de sus oficinas y los números de licencia no es simplemente un inconveniente administrativo: es un mapa operativo para cualquiera que busque comprometer el sistema notarial de México.
Campaña de exposición de Git
Se recupera una campaña de exposición paralela a .git 17 conjuntos de credenciales en vivo de 6 dominios mexicanos, expuestos Más de 37 identidades de desarrolladory recuperado casi 1 GB de código fuente de producción de una importante universidad pública. Se descubrieron siete repositorios de Git en GitHub, GitLab, Bitbucket e instancias internas de Gitea.
Los conjuntos de credenciales abarcan un instituto electoral estatal (infraestructura electoral), un departamento de salud estatal, una importante universidad con estudiantes PII y un periódico importante. Se identificaron tres IP externas con servicios de bases de datos conectables: 104.45.237.221 (Azure, IEEQ), 187.191.76.50 (comunicaciones IEEQ), y 52.117.172.166 (IBM Cloud, El Siglo). Todas las credenciales se encontraron en código fuente comprometido, lo que indica una falla sistémica en el uso de variables de entorno o gestión de secretos en las instituciones mexicanas.
La Fiscalía del Estado de Durango (fiscalia.durango.gob.mx) ejecuta una única instalación WordPress 24 sitios web de agencias gubernamentales estatales incluyendo Fiscalía, DIF, Educación, Salud, Seguridad Pública, Protección Civil y SIPINNA (bienestar infantil). Ejecuta RevSlider con CVE-2022-0441 (CVSS 9.8, omisión de autenticación) y CVE-2014-9734 (inclusión de expediente). No se instalan complementos de seguridad. XML-RPC está habilitado.
Datos sin procesar y descargas
Todos los datos recopilados han sido archivados y están disponibles para investigadores, periodistas y organizaciones de la sociedad civil a través del servidor de datos de ODINT.
México V1 — Colección completa — 118 agencias, 1675 CSV, API mapas, pilas de tecnología, investigación
Navegar
México V1 / API Volcados — Respuestas API sin procesar de 162 agencias federales
Navegar
México V1 / Pilas tecnológicas — 313 análisis de pilas de tecnología
Navegar
México V1 / Investigación — Expedientes de investigación y análisis de investigaciones.
Navegar
Informe de evaluación interactivo — Informe HTML interactivo completo con gráficos y desgloses
Vista
Cartas credenciales — Credenciales expuestas y tokens de autenticación
Navegar
hashes — Hashes de contraseñas recuperadas y análisis de hash
Navegar
Bóveda — Fiscalía Durango — Datos de la Fiscalía del Estado de Durango
Navegar
Bóveda — ATDT RepoDatos — Volcados de repositorios de datos federales
Navegar
Bóveda — SS Puebla — Datos de la Secretaría de Salud del Estado de Puebla
Navegar
Bóveda — IEEQ — Datos del Instituto Electoral del Estado de Querétaro
Navegar
Bóveda — UAEM — Universidad Autónoma del Estado de México
Navegar
Bóveda - ITSM — Instituto Tecnológico Superior de Misantla
Navegar
Bóveda — El Siglo de Torreón — Datos de medios de comunicación mexicanos + API
Navegar
Bóveda — MVS / Radio Centro — Datos del conglomerado de medios mexicano
Navegar
Bóveda — OSINT Informes — Informes de inteligencia compilados de objetivos de bóveda.
Navegar
Bóveda: objetivos — Enumeración de objetivos y datos de escaneo
Navegar
Bóveda: registros — Registros de aplicaciones y servidores capturados
Navegar
Hallazgos de seguridad — Divulgaciones de vulnerabilidad y configuraciones erróneas
Vista
Glosario HTML — Páginas capturadas del glosario del gobierno.
Navegar
LÉAME — Documentación de investigación completa
Vista
OSINT Descargo de responsabilidad
Este informe se basa íntegramente en inteligencia de código abierto (OSINT). No se accedió a información clasificada. No se utilizaron fuentes confidenciales. No se vulneró ningún sistema. No se eludió ningún mecanismo de autenticación. Todos los datos a los que se hace referencia en esta investigación estaban disponibles públicamente y se entregaron sin controles de acceso en el momento de su recopilación.
La plataforma ATDT en repodatos.atdt.gob.mx entregó todos los datos a través de puntos finales HTTP no autenticados. No se requirieron ni utilizaron contraseñas, tokens o credenciales de ningún tipo para acceder a los conjuntos de datos descritos en este informe.
Compilado 2026 — Clasificación: OSINT — Código abierto
Observatorio de Infraestructura Digital y Transparencia de Redes (ODINT)