Ignacio Gómez Villaseñor, experto en ciberseguridad, alerta sobre un presunto hackeo al SAT y robo de datos bancarios y fiscales de 2025 contenidos en 120 mil facturas que se venden en la dark web (web oscura).
Cuya gravedad reside en que se exponen también nóminas con salarios exactos; además de relaciones comerciales privadas entre empresas tecnológicas y sus proveedores, entre otras informaciones personales.
El ciberataque, sobre el que alerta el periodista especializado en transparencia y corrupción quien exhibe pruebas, habría vulnerado información privada de los contribuyentes del Servicio de Administración Tributaria (SAT), que depende de la Secretaría de Hacienda y Crédito Público (SHCP).
El también galardonado con el premio a la labor periodística en materia de ciberseguridad por parte de la Alianza México Ciberseguro (AMCS) indicó en un hilo de la red social X que el ciberdelincuente exhibió evidencias “para evitar desmentidos oficiales: validó los datos en el propio portal de Hacienda. La vulnerabilidad en Factura Móvil sigue abierta”.
“El incidente se origina en una vulnerabilidad crítica dentro de la infraestructura en la nube del SAT (http://cloudb.sat.gob.mx) que soporta la app Factura Móvil.
¿Quién es el presunto ciberdelincuente que hackeó al SAT?
El presunto cibercriminal autor del presunto hackeo al SAT es ByteToBreach, un grupo, no una sola persona, de ciberdelincuentes prolífico, cuyo robo de datos continuaría en tiempo real.
“El grupo ByteToBreach asegura que extrajo 120,000 CFDIs de este año y que la brecha permite seguir robando datos en tiempo real sin ser detectados”, escribió Villaseñor.
De acuerdo con el Centro de Inteligencia Cibernética (CIC) Kela, firma israelí de inteligencia sobre ciberamenazas que monitorea la darknet o dark web, ByteToBreach, es un ciberdelincuente activo desde mediados de 2025, con gran experiencia técnica que vende datos globales confidenciales de aerolíneas, bancos y gobiernos.
TE RECOMENDAMOS LEER: Bancos podrán bloquearte transferencias a partir de enero 2026, cuáles y por qué
¿Por qué es grave?
Ignacio Gómez Villaseñor explica que la gravedad supera la exposición de simples RFCs, ya que los archivos extraídos “exponen cuentas bancarias, nóminas con salarios exactos, direcciones fiscales, correos personales y relaciones comerciales privadas entre empresas tecnológicas y sus proveedores, como se ve en las muestras filtradas”.
Sin embargo, el peligro para los contribuyentes del SAT es que si sus datos caen en manos maliciosas, pueden ser víctimas de robo de identidad, estafas o fraude, mediante suplantación de identidad o phishing.
Además, los documentos internos filtrados socavan la confianza en las instituciones que son víctimas de sus ataques y el acceso a los sistemas corporativos puede permitir ataques posteriores como ransomware (malware que cifra los datos y exige un pago de rescate para descifrarlos) o explotación de la cadena de suministro.
Villaseñor explica cómo operaron el ciberataque al SAT
También detalla que el ciberataque al SAT no se trata de un simple robo de contraseñas.
“El atacante obtuvo tokens de autenticación para entrar directo al gateway de microservicios ‘zuul-fac-movil’, saltándose la interfaz de la app.
“Esto le permitió consultar la base de datos de Hacienda simulando ser tráfico legítimo”.
TE PODRÍA INTERESAR: SAT hará visitas domiciliarias en enero 2026, ¿a quiénes y por qué?
Pruebas del presunto ciberataque al SAT?
El especialista en ciberseguridad apunta que el atacante ByteToBreach se blindó ante una posible negación oficial:
“El hacker realizó una prueba de vida: usó los Folios Fiscales robados para consultarlos en el portal público del SAT.
“El sitio confirmó que las facturas son legítimas, vigentes y de diciembre de 2025. No es una base de datos vieja” se lee en la publicación de evidencia.
Gómez Villaseñor considera altamente probable que esta vulneración sea real porque ByteToBreach tiene varios ataques confirmados a nivel mundial.
TE SUGERIMOS LEER: CURP biométrica 2026 será obligatoria en estos trámites, lista completa
🚨 | Hacker vulnera al SAT y pone a la venta 120 mil facturas con datos bancarios y fiscales de 2025
— Ignacio Gómez Villaseñor (@ivillasenor) December 26, 2025
El ciberdelincuente exhibió varias evidencias para evitar desmentidos oficiales: validó los datos en el propio portal de Hacienda. La vulnerabilidad en "Factura Móvil" sigue… pic.twitter.com/HxTnK03xWt
¿Qué dice el SAT sobre el presunto hackeo que vulneró datos de contribuyentes mexicanos?
Tras el reporte del hackeo al SAT y las pruebas exhibidas sobre la venta de 120 mil facturas con datos bancarios y fiscales que dejó el presunto ciberataque, el organismo que dependen del gobierno federal que encabeza la presidenta Claudia Sheinbaum Pardo, emitió la Tarjeta Informativa 17 donde negó el hecho.
En ella, explica que tras análisis realizado a la infraestructura tecnológica de la aplicación Factura SAT Móvil, “no se identifica evidencia de ningún hackeo, ni que la información se haya comprometido, tampoco se detectó la existencia de alguna vulnerabilidad”.
No obstante, Gómez Villaseñor escribió que “cuesta creerlo”, ya que cuestiona que si sus sistemas son tan sólidos, “¿cómo fue posible que, durante meses, se pudiera utilizar SAT ID para extraer la constancia de situación fiscal de prácticamente cualquier persona?”.
Y recordó que esta vulnerabilidad fue documentada por él y también por Proceso, e incluso permitió acceder a información fiscal del propio secretario de Seguridad, Omar García Harfuch.
Y pregunta nuevamente: “Entonces, ¿debemos creer ciegamente todos los comunicados del gobierno? Eso queda a criterio de cada quien, pero conviene recordar el caso de la SEP. Se registraron múltiples filtraciones de millones de datos de niñas y niños que estudian en escuelas públicas en 2025. La SEP lo negó, me acusó de difundir fake news”.
Pero meses después, el 4 de diciembre, la Agencia de Transformación Digital (ATD) publicó el Plan Nacional de Ciberseguridad, en el que reconoció como único incidente crítico de 2025 la serie de ataques contra la SEP que Villaseñor había documentado.
“Es decir, quedó oficialmente asentado que mintieron”, remarca el experto en ciberseguridad.
— SATMX (@SATMX) December 28, 2025
Otros hackeos al SAT en México
Hace un año, en diciembre de 2024, la Red en Defensa de los Derechos Digitales (R3D), organización mexicana dedicada a la defensa de los derechos humanos en el entorno digital, reportó que el usuario que se identificó como iZED publicó en un foro de la dark web una lista que incluye credenciales de acceso de 111 mil contribuyentes del SAT en México.
El archivo publicado tenía usuarios, contraseñas y las claves privadas de la Firma Electrónica (e.firma).
Asimismo, información sobre el portal específico al que pertenece cada clave, lo que puso en riesgo la información, privacidad y seguridad financiera de las personas usuarias ya que estas credenciales se relacionan con portales del SAT como facturación electrónica, generación de CFDI y trámites digitales.