A Sociedade Hipotecária Federal (SHF), banco de desenvolvimento fundamental para o financiamento habitacional no México, enfrenta um dos incidentes de cibersegurança mais graves já registrados no setor público, depois que o grupo de ransomware LockBit cumpriu sua ameaça e divulgou publicamente informações sensíveis supostamente extraídas de seus sistemas. Essa filtragem ocorre poucos dias após um ataque que teria afetado 25 instituições públicas no país.

De acordo com documentos e análises divulgados pelo jornalista Ignacio Villaseñor, o grupo criminoso liberou cerca de 277 GB de informações compactadas — volume que pode ultrapassar 1 TB após descompressão — correspondentes a backups completos de bases de dados institucionais da SHF.

O ataque foi realizado em 21 de janeiro, quando o grupo estabeleceu um prazo para que a SHF pagasse um resgate em criptomoedas. Esse prazo venceu nesta quinta-feira, 5 de fevereiro.

Diferentemente da filtragem atribuída ao grupo Chronus, focada em dados de identidade e registros médicos de 25 instituições, o incidente da SHF executado pelo LockBit representa um risco patrimonial distinto. Enquanto o Chronus atua por meio da venda seletiva de informações, o LockBit divulgou os dados publicamente.

Entre os arquivos expostos, foram identificadas bases de dados SQL com extensão .bak, o que sugere a extração integral de sistemas centrais de operação. As informações foram confirmadas por Víctor Ruiz, fundador da startup de cibersegurança SILIKN, que afirmou que os dados disponibilizados na dark web correspondem a informações confidenciais da SHF decorrentes de um ataque ocorrido por volta de 21 de janeiro de 2026.

Segundo Ruiz, o ataque teria comprometido a infraestrutura tecnológica da instituição, criptografado sistemas críticos e provocado interrupções operacionais relevantes. A organização dos arquivos por instituição financeira permite observar relações comerciais e operacionais entre a SHF e diversos bancos, expondo o núcleo transacional do sistema hipotecário nacional, além de bases completas com dados bancários e informações pessoais associadas a créditos imobiliários.

Entre os arquivos mais sensíveis estaria o CONTROLCARTERAS.bak, com mais de 93 GB, que aparentemente contém toda a carteira de crédito administrada pela SHF, incluindo históricos, valores devidos e dados de localização.

O que faz a SHF no México?

A SHF atua como banco de desenvolvimento de segundo piso, oferecendo garantias, avais e financiamentos estruturados à banca comercial. Nesse contexto, a filtragem não se limitaria a créditos diretos com o governo. Os arquivos estariam organizados por instituição financeira, revelando a interconexão operacional entre a SHF e bancos como BBVA, Santander, Banorte, HSBC e Scotiabank, ampliando o alcance do incidente para todo o sistema hipotecário.

Especialistas alertam que a posse dessas bases de dados pode viabilizar ataques de spear phishing altamente direcionados, além de fraudes de identidade e esquemas de falsificação com alto grau de credibilidade, ao combinar informações como nome completo, RFC, CURP, endereço exato e dívida real.

O alcance da filtragem vai além do setor financeiro

Entre os arquivos vazados, também teriam sido identificados documentos transferidos da Presidência da República, relacionados a pedidos de cidadãos encaminhados por instâncias federais. Esses documentos incluiriam dados pessoais de cidadãos que solicitaram apoio ao governo, elevando o caso ao nível de segurança nacional e proteção de dados pessoais.

SHF acionou “kill switch”

Após o ataque, a SHF teria ativado um “kill switch” e desconectado seus sistemas. Segundo relatos, funcionários da instituição estariam há semanas operando sem acesso pleno às plataformas institucionais, trabalhando em regime de home office e recebendo informações por e-mail, devido à indisponibilidade de sistemas e portais oficiais.

Ruiz acrescentou que, embora não haja confirmação oficial sobre o pagamento de resgate ou a recuperação total dos sistemas, avaliações técnicas indicam que a SHF opera com acesso limitado a backups parciais, sem restabelecer integralmente suas plataformas tecnológicas.

A gravidade do incidente já havia sido antecipada. Desde 24 de janeiro, Villaseñor alertava sobre o comprometimento dos sistemas da SHF. Apesar do aviso prévio, a divulgação massiva das informações ocorreu em 5 de fevereiro, após o vencimento do prazo de extorsão imposto pelos atacantes.

O que disse o governo?

Até o momento, a SHF não divulgou comunicado oficial sobre o incidente. Para especialistas em cibersegurança, o episódio testa os protocolos de resposta a incidentes do governo federal, em um contexto marcado por ataques anteriores a órgãos públicos.

Em comunicado recente, a Agência de Transformação Digital e Telecomunicações (ATDT), após o suposto ataque do grupo Chronus, minimizou vulnerabilidades na infraestrutura central, sugerindo que os dados já teriam circulado anteriormente. O documento não mencionou especificamente a SHF nem detalhou quais instituições foram afetadas.

A magnitude da filtragem gerou alertas nacionais e internacionais, podendo se tornar uma das maiores exposições de dados financeiros governamentais de 2026.

CADASTRE-SE no Blog Televendas & Cobrança e receba semanalmente por e-mail nosso Newsletter com os principais artigos, vagas, notícias do mercado, além de concorrer a prêmios mensais.