Miles de contraseñas del portal Trabajaen.gob.mx —la plataforma oficial para concursar por vacantes en el servicio público federal— fueron filtradas y compartidas en grupos de ciberdelincuencia a través de plataformas de mensajería. Lo peor: se comprobó que muchas de ellas siguen activas, lo que permite que personas no autorizadas —incluidos posibles estafadores— accedan y hagan uso indebido de información altamente sensible.
Este sistema es administrado por la Secretaría Anticorrupción y Buen Gobierno (SABG), antes Secretaría de la Función Pública (SFP), y su vulneración pone en riesgo a todos los aspirantes a un cargo en el actual gobierno, pues —hasta hoy— las vacantes publicadas en el Diario Oficial de la Federación (DOF) siguen redirigiendo a los interesados hacia ese sitio para concursar por un puesto.
Aunque el portal nunca fue operado por el extinto Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), la comparación es inevitable: ahora la SABG no solo administra el sistema comprometido, sino que también asumió las funciones del INAI para garantizar la protección de datos personales.
Es decir, le corresponde investigar la vulneración... pero ha sido ella misma la vulnerada.
Casi 4 mil accesos comprometidos al sistema de empleo
Una investigación de Publimetro México, basada en herramientas OSINT (Inteligencia de Fuentes Abiertas) como White Intel y DeHashed, confirmó que al menos 3,937 credenciales de acceso a TrabajaEn fueron filtradas entre 2024 y 2025. De ellas, 1,184 aparecen como “last seen” en 2025, lo que implica que fueron utilizadas recientemente.
Estas contraseñas se obtuvieron en su mayoría a través de infostealers, malware especializado en extraer credenciales guardadas en navegadores. No obstante, expertos señalan que el uso de credenciales comprometidas para ingresar sin autorización sí constituye un hackeo, especialmente si el sistema no tiene controles de ciberseguridad básicos para prevenirlo.
El portal expone todo el historial laboral de los aspirantes
Publimetro México verificó que muchas contraseñas siguen funcionando y permiten ingresar sin restricciones a la plataforma. Cada perfil ofrece información sumamente sensible:
- Nombre completo, CURP, RFC, dirección, contacto
- Historial laboral, estudios y documentos oficiales
- Evaluaciones psicométricas y referencias
- Estado de todos los concursos a los que se ha inscrito el usuario: si fue aceptado, rechazado, en qué etapa quedó y por qué
- Interacción con áreas de recursos humanos de dependencias públicas
En algunos casos incluso se accede a contrataciones o al seguimiento interno de los procesos, lo que permite a un atacante manipular registros o postular de forma fraudulenta.
No hay 2FA ni alertas de intrusión
Cabe destacar que el sistema carece de mínimos mecanismos de protección como autenticación en dos pasos (2FA), validación por correo o teléfono ante cambios sospechosos o notificación de inicios de sesión desde nuevas ubicaciones o dispositivos.
Esto significa que cualquier persona con una contraseña filtrada puede ingresar y operar desde cualquier parte del mundo sin dejar rastro inmediato.
El riesgo humano: gente en situación de desempleo
El analista de ciberseguridad Víctor Ruiz, fundador de SILIKN, advierte que este tipo de filtraciones golpean particularmente a quienes se encuentran en una situación vulnerable:
“Un atacante que acceda a estos datos puede postularse a empleos de forma fraudulenta, manipular aplicaciones activas o incluso eliminar evidencias de postulaciones reales”.
La paradoja del autocontrol: del INAI a la SABG
El INAI, organismo autónomo que antes vigilaba este tipo de casos, fue extinguido por decreto en marzo de 2025 después de una serie de ataques que iniciaron desde la gestión del expresidente Andrés Manuel López Obrador; sin embargo, destaca que parte de sus funciones fueron absorbidas por la SABG, misma dependencia responsable del sistema vulnerado.
Esto significa que el organismo que ahora debería investigar la filtración y garantizar los derechos de protección de datos personales es la institución que permitió la exposición masiva.
SPF y un antecedente de hackeo que no se olvida
En 2020, la entonces Secretaría de la Función Pública (SFP) dejó expuesta sin protección una base de datos con 830,000 declaraciones patrimoniales de funcionarios públicos. El incidente, identificado por el periodista José Soto Galindo, fue minimizado por la SFP, y hasta la fecha no hubo sanciones ni responsables identificados.
Una nota de seguimiento publicada por El Economista en 2023 señala que la Dirección General de Tecnologías de la Información ha tenido al menos seis titulares desde entonces. El último —y el actual— es Carlos Raúl Ramírez Orozco, quien justamente aparece como titular en los registros WHOIS del dominio de TrabajaEn y de la SABG.
