- El IMSS enfrenta una crisis institucional sin precedentes. Pese a que ha negado un hackeo directo y atribuido el incidente a un mal uso interno, lo cierto es que se trata de una vulneración significativa que coloca a millones de ciudadanos en riesgo de extorsión, fraudes y robo de identidad
En días recientes se ha destapado uno de los incidentes más graves en materia de protección de datos personales en México: la filtración de información sensible de aproximadamente 20 millones de pensionados del Instituto Mexicano del Seguro Social (IMSS). Entre los datos comprometidos se encuentran nombres, domicilios, CURP, números de seguridad social, padecimientos médicos y hasta tipos de sangre, información que, según diversas fuentes, ya circula y se oferta en la dark web.
El IMSS, como sujeto obligado por la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO, publicada en el Diario Oficial de la Federación el 20 de marzo de 2025), enfrenta una crisis institucional sin precedentes. Pese a que ha negado un hackeo directo y atribuido el incidente a un mal uso interno, lo cierto es que se trata de una vulneración significativa que coloca a millones de ciudadanos en un riesgo real de extorsión, fraudes y robo de identidad.
Lo más preocupante no es sólo la magnitud de la filtración, sino la falta de respuesta clara y contundente de las autoridades responsables. Hasta ahora no se ha establecido un canal directo de comunicación con los ciudadanos afectados, ni se ha transparentado la magnitud del daño. En un país donde constantemente se habla de combate a la corrupción y fortalecimiento de derechos, el silencio institucional resulta tan grave como la vulneración misma.
La Ley es clara, cuando ocurre una filtración de este tipo, el responsable debe notificar de manera inmediata e individualizada a los afectados, además de informar a la Secretaría Anticorrupción y Buen Gobierno (SAyBG), que funge como autoridad en la materia. También debe implementar medidas técnicas, administrativas y físicas para mitigar daños y garantizar que el incidente no se repita.
Pero anteriormente la ley especificaba un plazo de 72 horas, hoy ya no existe ese plazo. Queda abierto.
La pregunta es inevitable: ¿qué pasa con las medidas de seguridad, prevención y auditoría digital dentro de las instituciones públicas? No se trata únicamente de cumplir con un requisito legal, sino de proteger un derecho que impacta de manera directa en la vida cotidiana de la gente. Cada filtración abre la puerta a que miles de familias sean víctimas de estafas, acoso o pérdida de patrimonio.
El problema de fondo se agrava por la desaparición del INAI, que durante años fungió como órgano garante especializado en la defensa de los derechos de acceso a la información y de protección de datos personales. Hoy, en medio de una transición institucional aún incierta, los ciudadanos quedan en un vacío de protección que vuelve más vulnerable cualquier dato en manos del Estado.
Este caso debería marcar un punto de inflexión. No podemos normalizar que la información de millones de mexicanos se convierta en mercancía en el mercado negro digital. Se requiere una respuesta inmediata del IMSS y de la SAyBG, con transparencia total sobre la magnitud del daño, notificaciones directas a los afectados y la implementación de auditorías técnicas externas que devuelvan algo de confianza a la ciudadanía.
La protección de los datos personales no es un trámite burocrático ni un asunto menor, es una condición indispensable para garantizar otros derechos, desde la seguridad patrimonial hasta la salud y la identidad. Sin ella, la relación entre ciudadano y Estado se erosiona peligrosamente.
México enfrenta un reto mayúsculo: o se asume con seriedad la protección de los datos personales, o seguiremos avanzando hacia un escenario donde la privacidad y la seguridad digital de la población estén permanentemente en riesgo. El caso del IMSS es la prueba más clara de que no hay tiempo que perder.
