Sufre INE sufre la peor crisis de ciberseguridad en medio de proceso electoral

Ciudad de México, 25 de abril de 2025.- El Instituto Nacional Electoral (INE) enfrenta su más grave crisis digital, a semanas de la elección judicial del 1 de junio.

De acuerdo con el periodista Ignacio Gómez Villaseñor, se están enviando correos de phishing desde cuentas institucionales reales y hay evidencia técnica de que estos mensajes salen desde su propia infraestructura.

Además, venden bases de datos con el padrón electoral y su sitio oficial aloja archivos ejecutables que podrían desactivar por completo los sistemas de seguridad de computadoras que los descarguen, según su nota publicada en Publimetro.

Gómez Villaseñor Todo asegura que todo sucede sin que el organismo electoral se haya pronunciado, durante una de las etapas más críticas del calendario democrático mexicano y pese a contar desde 2018 con un protocolo —actualizado en 2020— titulado Incidencia a causa de ataques de ciberseguridad, que establece pautas de actuación ante distintos escenarios. Sin embargo, según las evidencias recopiladas por Publimetro México, dicho documento no ha sido aplicado de manera integral.

Phishing desde cuentas reales y servidores oficiales del INE

El 8 de abril, al menos 13 correos maliciosos fueron enviados a legisladores federales como Ricardo Monreal y Rocío Abreu desde la dirección `bertha.woge@ine.mx`. Desde entonces, ha habido un envío masivo a todo tipo de ciudadanos desde diferentes cuentas reales.

El periodista tuvo acceso a algunos de los mensajes originales en formato `.eml` y pudo confirmar que se trataba de intentos de phishing con enlaces sospechosos que redirigían a sitios ajenos al INE.

Lo más delicado es que los correos no fueron falsificados. Análisis de encabezados técnicos revelaron que salieron desde la IP 200.34.165.45, registrada a nombre del propio Instituto Nacional Electoral (INE), ubicado en Viaducto Tlalpan, Ciudad de México.

Los mensajes pasaron por servidores como correo.ine.mx y no fueron interceptados por ningún filtro antispam. En varios casos, las protecciones SPF, DKIM y DMARC estaban desactivadas o mal configuradas, permitiendo que los atacantes operaran desde adentro.

A esto se suma que otros mensajes, también con enlaces maliciosos, fueron enviados desde cuentas como noreply@ine.mx, vicente.gonzalez@ine.mx, griselda.suarez@ine.mx y horacio.rios@ine.mx. Todos son funcionarios reales del INE. Algunos de los correos incluso estaban escritos en idiomas extranjeros, lo que indica que probablemente los atacantes no tienen interés específico en funcionarios mexicanos, sino que están usando la infraestructura del instituto para distribuir ataques masivos.

Sitios clonados y robo de credenciales

Las ligas presentes en los correos redirigen a sitios falsos que imitan el acceso al correo institucional del INE, como micorreo.ine.mx. Los enlaces apuntan a dominios disfrazados como sendflow.pro o myftpupload.com, que están diseñados para capturar contraseñas.

También confirmó que, mediante revisores técnicos como VirusTotal, que varios de estos enlaces conducen a sitios categorizados como maliciosos. También se comprobó que los enlaces fueron enviados desde Outlook oficial, conectado a servidores internos del INE, y que contenían cabeceras completamente válidas, lo que descarta la posibilidad de suplantación simple (spoofing). Es decir, las cuentas de correo de los funcionarios electorales están completamente comprometidas.

Peligroso malware alojado en el sitio del INE

La situación escaló cuando especialistas en ciberseguridad detectaron un archivo ejecutable llamado PreConfigAppIFE.exe, alojado en el sitio pautas.ine.mx, dentro del dominio oficial del INE y que, hasta este 25 de abril, seguía activo. Este ejecutable fue analizado en la plataforma VirusTotal, donde 35 de 72 motores antivirus lo marcaron como malicioso.

Según los análisis técnicos de expertos como GhostFirmware e Hiram Alejandro Camarillo, el ejecutable desactiva funciones de seguridad esenciales del sistema operativo Windows, como el Control de Cuentas de Usuario (UAC), Windows Defender, servicios biométricos y hasta el reinicio automático del sistema. Estos comportamientos son típicos de programas tipo troyano o precursores de ransomware.

Manual oficial confirma uso institucional de archivo con malware

Publimetro México accedió a un manual técnico emitido por el propio INE titulado MaterialCap_Instalacionappensitio.pdf, donde se instruye explícitamente a los usuarios a ejecutar el archivo PreConfigAppIFE.exe como parte de la instalación del Sistema de Registro de Partidos Políticos Nacionales (SIRPP). El documento oficial indica que el archivo debe ejecutarse con privilegios de administrador y que reiniciará el equipo.

Esto confirma que el archivo malicioso fue distribuido institucionalmente y con fines operativos, aunque sin aclarar nunca los riesgos ni el comportamiento del software en los sistemas de los usuarios. El ejecutable lleva incrustado el nombre del extinto Instituto Federal Electoral (IFE), lo cual también genera dudas sobre su actualización y origen.

Recibe INE denuncia por violencia política en razón de género en el proceso judicial