Hackean a la Secretaría de Marina: filtran datos de 640 mil trabajadores portuarios y 5.8 TB de operaciones

En lo que ya se perfila como una de las filtraciones más graves contra una institución de seguridad nacional en la historia de México, la plataforma Puerto Inteligente Seguro (PIS) de la Secretaría de Marina fue hackeada — exponiendo los datos personales de más de 640,000 trabajadores portuarios y, semanas después, 5.8 terabytes adicionales con 16.6 millones de registros operativos de los principales puertos del país.

El ataque fue ejecutado por el grupo cibercriminal Sociedad Privada 157, liderado por un actor conocido como "Marssepe", quien publicó los archivos en foros de la dark web y redes sociales. La Marina no emitió pronunciamiento oficial.

Qué datos fueron expuestos

La primera filtración, de 39.7 gigabytes, contenía los expedientes individuales de cada persona registrada en el sistema PIS — una plataforma donde es obligatorio registrarse para cualquiera que trabaje en un puerto mexicano:

• Nombres completos
• CURP y RFC
• Número de seguridad social
• Tipo de sangre
• Fotografía codificada del rostro
• Empresa donde laboran, puesto y puerto de operación
• Estatus de personal "boletinado" en el sistema Lenel

Semanas después, el mismo grupo publicó una segunda filtración aún más grave: 5.8 terabytes con 16.6 millones de registros operativos del periodo 2021 a 2026, que incluyen:

• Documentos Electrónicos de Cita con fotografías de camiones y placas
• Información de cargas — incluyendo materiales peligrosos y precursores químicos
• Pólizas de seguros y CFDIs (comprobantes fiscales)
• Certificados de embarcaciones
• Pasaportes y libretas de mar de tripulantes extranjeros

Los puertos confirmados como afectados incluyen Manzanillo, Veracruz y Lázaro Cárdenas — tres de los nodos logísticos más importantes del país.

Por qué este hackeo es diferente

A diferencia de otras filtraciones gubernamentales recientes (como el hackeo de Chronus a 25 dependencias federales en enero), esta tiene implicaciones directas para la seguridad física de personas y la cadena de suministro nacional:

• Riesgo de extorsión directa: Con nombres, fotos, datos fiscales y ubicación laboral, cualquier trabajador portuario puede ser contactado por grupos criminales para facilitar el tránsito de mercancía ilícita.
• Vulnerabilidad de cargas sensibles: Saber qué camión lleva qué carga, con qué placas y en qué fecha permite a criminales interceptar o desviar mercancía.
• Espionaje comercial: Los CFDIs y pólizas de seguros revelan relaciones comerciales, montos y proveedores de miles de empresas que operan en puertos.

Todo el personal que labora en puertos mexicanos — transportistas, agentes aduanales, operadores y personal logístico — está obligado a registrarse en la plataforma PIS para obtener su acreditación. El hackeo los expuso a todos.

Cómo sucedió

Según los análisis disponibles, el grupo Sociedad Privada 157 utilizó credenciales comprometidas para acceder a los sistemas internos. No se trató de un ataque sofisticado con herramientas avanzadas, sino del método más común y evitable: contraseñas débiles o reutilizadas, sin autenticación multifactor.

Este es el mismo patrón que SP157 ha explotado durante todo 2025 y 2026 en sus ataques contra sistemas educativos federales, la Secretaría de Seguridad de Guanajuato (donde expusieron datos de 6,636 policías) y ahora contra la Marina.

¿Qué debería preocuparte si eres empresa?

Si tu empresa tiene cualquier operación logística en puertos mexicanos — importaciones, exportaciones, transporte de mercancía, agencia aduanal — tus datos ya podrían estar en esos 5.8 terabytes:

Revisa tu exposición

Si tus empleados están registrados en el sistema PIS, sus datos personales fueron comprometidos. Notifícalos y toma medidas para proteger sus identidades: alertas de crédito, cambio de contraseñas en todos los sistemas donde usaron las mismas credenciales.

Audita tus accesos

Si usas credenciales compartidas en plataformas gubernamentales, cámbialas hoy. El vector de ataque fue precisamente ese: contraseñas débiles sin segundo factor. Activa MFA en todo lo que puedas.

Protege tu información fiscal

Con CFDIs filtrados, un atacante puede conocer tus proveedores, montos y relaciones comerciales. Esto abre la puerta a fraudes de suplantación donde alguien se haga pasar por tu proveedor con datos legítimos para desviar pagos.

Monitorea intentos de phishing

Después de filtraciones masivas, las campañas de phishing dirigido se disparan. Los atacantes usan los datos reales para crear correos y mensajes creíbles. Capacita a tu equipo para detectarlos.

El patrón que debería alarmarnos

Este no es un incidente aislado. En lo que va de 2026, México ha sufrido:

• Enero: Chronus filtra 2.3 TB de 25 dependencias federales (SAT, IMSS, SEP) — 36 millones de mexicanos afectados
• Febrero: Se revela que el ataque usó inteligencia artificial (Claude y ChatGPT) para automatizar la exfiltración
• Abril: SP157 hackea la Secretaría de Seguridad de Guanajuato — 6,636 policías estatales expuestos con nombre, CURP, RFC y domicilios
• Abril-Mayo: SP157 hackea la Secretaría de Marina — 640,000 personas + 5.8 TB de operaciones portuarias

El denominador común en todos los casos: credenciales débiles, sistemas obsoletos, sin autenticación multifactor y sin monitoreo. Exactamente los mismos problemas que vemos todos los días en las PyMEs que atendemos.

Protégete antes de que te toque

Si el gobierno federal — con los recursos que tiene — no puede proteger sus sistemas de un grupo que usa contraseñas robadas, imagina lo que ese mismo grupo podría hacer con los sistemas de tu empresa.

La diferencia es que tú sí puedes actuar hoy:

• Activa autenticación multifactor en correo, sistemas administrativos y cualquier plataforma crítica
• Elimina contraseñas compartidas — cada persona con su propia credencial
• Implementa monitoreo de accesos inusuales a tus sistemas
• Respalda tu información fuera de tu red principal
• Capacita a tu equipo para detectar intentos de suplantación y phishing

¿No sabes por dónde empezar? En ALMSTRA ofrecemos un diagnóstico gratuito de 45 minutos donde evaluamos exactamente estos puntos: accesos, credenciales, monitoreo, respaldos y plan de respuesta. Sin pitch de ventas, sin compromiso — solo un mapa claro de dónde estás parado y qué necesitas corregir primero.

Si operas en logística, comercio exterior o tienes empleados registrados en plataformas gubernamentales, el momento de actuar es ahora. Puedes también calcular cuánto le costaría un ciberataque a tu empresa con nuestra herramienta gratuita.