A pesar de la evidencia de que miles de cuentas del portal TrabajaEn.gob.mx, utilizado por el gobierno federal para gestionar vacantes en el servicio público, fueron comprometidas y siguen activas, la Secretaría Anticorrupción y Buen Gobierno (SABG) —antes Secretaría de la Función Pública— negó cualquier vulneración a su plataforma y trasladó la responsabilidad del incidente a los propios usuarios afectados.
En una tarjeta informativa enviada a Publimetro México, la dependencia rechazó categóricamente que su sistema haya sido hackeado, aun cuando una investigación de este medio confirmó que al menos 3,937 cuentas del portal fueron expuestas públicamente, muchas con contraseñas que aún permiten ingresar y consultar información laboral, datos personales, currículums, evaluaciones y el historial completo de concursos a los que ha aplicado cada usuario.
“No hubo vulneración de la plataforma TrabajaEn, ni acceso a la información contenida en ella; no se encontraron señales de accesos indebidos”, respondió la SABG, basando su posición en una validación técnica realizada por la Guardia Nacional en 2024.
Contraseñas reales, accesos activos
El argumento oficial omite que las contraseñas expuestas han sido probadas y confirmadas como funcionales, lo que significa que cualquier persona que las tenga puede acceder directamente a los perfiles de los aspirantes, ver su información profesional, datos de contacto, documentos cargados y procesos laborales previos, sin que el sistema lo impida.
Además, la plataforma carece de autenticación multifactor o alertas por accesos irregulares, lo cual —de acuerdo con expertos— incrementa significativamente el riesgo.
La Secretaría responsabiliza a los usuarios
La SABG atribuye la filtración a malware instalados en los equipos personales de los usuarios:
“Este hecho es externo a la operación de la plataforma y tiene que ver con la seguridad de los equipos de los propios usuarios.”
Sin embargo, especialistas advierten que incluso si los datos se obtuvieron por infostealers —como contraseñas robadas desde navegadores o aplicaciones— el sistema sigue siendo responsable si permite accesos no autorizados sin verificación ni mecanismos de defensa.
No es la primera vez
En 2020, cuando la dependencia todavía era la Secretaría de la Función Pública, se expusieron públicamente las declaraciones patrimoniales de 830,000 funcionarios federales debido a una mala configuración en sus servidores. Aunque se inició una investigación, nunca hubo sanciones ni se hizo público el resultado del caso. Desde entonces, seis personas han ocupado la Dirección General de Tecnologías de la Información.
Una paradoja institucional
Tras la extinción del INAI, la SABG asumió algunas de sus funciones relacionadas con la protección de datos personales. Esto significa que la misma dependencia que hoy fue señalada por la exposición de datos es ahora la encargada de investigar este tipo de vulneraciones. No se ha informado si se inició algún procedimiento interno o se notificó a los usuarios afectados.
Riesgos graves para las personas
El especialista en ciberseguridad Víctor Ruiz, fundador de SILIKN, advirtió que los portales de empleo como TrabajaEn manejan información extremadamente sensible y pueden ser utilizados para fraudes, suplantación de identidad y manipulación de procesos de contratación:
“Un atacante que acceda a datos como nombres, identificaciones oficiales o certificados escolares puede postularse de forma fraudulenta, borrar aplicaciones o ejecutar estafas financieras.”
También señaló que la exposición de estos datos afecta principalmente a personas en situación de vulnerabilidad: “Las víctimas suelen estar desempleadas o desesperadas, lo cual agrava el impacto emocional y económico del robo de identidad.”
El sitio, fuera de línea por error de seguridad
Poco después de la publicación del reportaje original, el portal TrabajaEn.gob.mx presentó un bloqueo por parte de navegadores seguros como Firefox, debido a que su certificado digital no es válido para el dominio. El error técnico (SSL_ERROR_BAD_CERT_DOMAIN) refuerza la evidencia de que el sistema no cuenta con mantenimiento adecuado ni supervisión activa.
