Supuesto hacker ofrece a la venta miles de facturas del SAT con información sensible de 2025

Un presunto incidente de ciberseguridad ha generado preocupación en torno a los sistemas del Servicio de Administración Tributaria (SAT), luego de que un supuesto hacker afirmara haber vulnerado una de sus plataformas digitales y obtenido acceso a información fiscal altamente sensible correspondiente a 2025.

De acuerdo con lo que circula en foros especializados en filtraciones de datos, un grupo que se identifica como ByteToBreach asegura haber extraído alrededor de 120 mil Comprobantes Fiscales Digitales por Internet (CFDI) desde la infraestructura que respalda la aplicación oficial Factura Móvil. Según esta versión, la falla de seguridad seguiría activa, permitiendo la obtención continua de información sin generar alertas visibles.

Información expuesta va más allá de simples RFC

Las supuestas muestras difundidas no se limitarían a datos básicos. Entre la información comprometida se incluirían cuentas bancarias, recibos de nómina con montos exactos, domicilios fiscales, correos electrónicos personales y vínculos comerciales privados entre empresas tecnológicas y sus proveedores. Todo ello, según el grupo, corresponde a documentos fiscales vigentes y emitidos durante 2025.

Ataque habría sido directo a la infraestructura, no a usuarios

El presunto atacante sostiene que no se trató de un robo tradicional de contraseñas. La intrusión, según su relato, habría sido posible mediante la obtención de tokens de autenticación, con los cuales logró acceder directamente al gateway de microservicios conocido como “zuul-fac-movil”, evitando por completo la interfaz normal de la aplicación.

Este método habría permitido consultar las bases de datos internas del SAT simulando tráfico legítimo, lo que explicaría por qué la actividad no habría sido detectada de inmediato.

“Prueba de vida” para respaldar la filtración

Para reforzar la credibilidad de sus afirmaciones y anticiparse a una posible negación oficial, el supuesto hacker realizó lo que en el ámbito de la ciberseguridad se conoce como una prueba de vida. Utilizando folios fiscales presuntamente obtenidos durante la intrusión, consultó las facturas directamente en el portal público del SAT, donde el sistema confirmó que los CFDI son auténticos, vigentes y emitidos en diciembre de 2025.

Este detalle, de acuerdo con la versión difundida, descartaría que se trate de una base de datos antigua o reciclada.

Sin confirmación oficial hasta el momento

Hasta ahora, no existe un pronunciamiento oficial del SAT que confirme o desmienta públicamente estas afirmaciones. Por ello, toda la información debe considerarse como un señalamiento no verificado, aunque la magnitud de los datos exhibidos ha encendido alertas entre especialistas en seguridad informática y protección de datos personales.

El caso pone nuevamente sobre la mesa los riesgos asociados a la digitalización de servicios fiscales y la necesidad de auditorías constantes y mecanismos de detección temprana en infraestructuras críticas del Estado.