Una ola de sitios web falsos que imitan el portal oficial del Registro Público Vehicular (REPUVE) ha comprometido múltiples dominios gubernamentales con la extensión “.gob.mx”, ampliando el riesgo de fraude en todo el país.
La advertencia para los automovilistas es directa: el trámite de REPUVE es completamente gratuito, y cualquier portal que solicite un pago —como los 110 pesos que piden algunos sitios— es una estafa.
De acuerdo con una investigación de Publimetro México, la operación de los atacantes se ha detectado en distintos estados y dependencias, lo que evidencia una vulnerabilidad estructural en los servidores del gobierno.
Los delincuentes no solo han reactivado portales de phishing (suplantación de identidad) alojados en subdominios del propio gobierno de la Ciudad de México —como la Escuela de Administración Pública (EAP) y la alcaldía Gustavo A. Madero—, sino que también han infectado dominios municipales, entre ellos el de Tizayuca, Hidalgo.
Modus operandi del fraude digital
El esquema es meticuloso y busca ganarse la confianza de los usuarios aprovechando URLs que parecen legítimas. El grupo criminal utiliza un mismo kit de phishing en todos los portales comprometidos, con errores idénticos en su código, lo que permite rastrear su origen común.
El engaño sigue tres pasos:
- Atracción y engaño. Los sitios falsos aparecen entre los primeros resultados de búsqueda en Google. Al entrar, el usuario introduce su número de placa o VIN (Número de Identificación Vehicular) y recibe una “consulta exitosa” simulada, sin conexión alguna con bases de datos reales.
- Solicitud de pago. A continuación, se pide un depósito de 110 pesos para “descargar el informe”, instruyendo al usuario a transferir el monto a una cuenta CLABE.
- Anonimato financiero. El dinero termina en cuentas del Banco STP (Sistema de Transferencias y Pagos), mediante intermediarios como EasyPago o NetPay. Este mecanismo dificulta el rastreo de los fondos, ya que los pagos se registran como operaciones voluntarias dentro de plataformas legítimas.
Cronología de la infección digital
El incidente se remonta a la semana del 6 al 10 de octubre, cuando varios portales del Gobierno de la Ciudad de México presentaron fallas masivas de conexión conocidas como “Error 20”. Durante esos días, el sitio de Locatel también operó con su certificado de seguridad vencido, lo que dejaba la conexión expuesta a intrusiones.
Aunque no está confirmado que los atacantes hayan explotado esa vulnerabilidad, las fechas coinciden con la detección del primer sitio falso de REPUVE, alojado en un subdominio de la CDMX el 10 de octubre. Tras hacerse público el caso, las autoridades intentaron darlo de baja; sin embargo, para el 22 de octubre, el portal volvió a estar activo, demostrando que el acceso no había sido completamente cerrado.
Con el paso de los días, la estafa se extendió a otros dominios de la capital y posteriormente al municipio de Tizayuca, en Hidalgo. Según el especialista en OSINT Iván Castañeda, este patrón replica un esquema similar que ya había sido detectado utilizando dominios del gobierno de Guerrero.
Recomendaciones para la ciudadanía
Las autoridades y expertos en ciberseguridad recomiendan no realizar pagos en ningún sitio que prometa trámites de REPUVE. La consulta ciudadana del Registro Público Vehicular es, por ley, gratuita.
Antes de ingresar información personal o bancaria, es fundamental verificar que la dirección web sea la oficial y que la conexión muestre el candado de seguridad en la barra del navegador. En caso de duda, lo más seguro es acudir directamente a los módulos de atención ciudadana para realizar el trámite de manera presencial.