La noche del sábado 4 de octubre de 2025, el sitio web oficial del C5 de la Ciudad de México —ubicado en www.c5.cdmx.gob.mx—no se comprometeron los sistemas operativos, las cámaras de videovigilancia ni la información sensible, ya que dichos sistemas están aislados tecnológicamente del sitio web informativo. fue deshabilitado y reemplazado por un mensaje firmado por un usuario con el alias “Marssepe”. A pesar de ello, las autoridades del C5 y la Agencia Digital de Innovación Pública (ADIP) han asegurado que
⛔️ | Ciberterroristas hackearon al C5 de CDMX
Después del defacement, el sitio ya se encuentra completamente caído. Probablemente lo desconectó el gobierno para mitigar el ataque.
No hay que minimizar esto. Solo recuerden que en julio de este año un informe oficial del… https://t.co/rQn1ovVFMU pic.twitter.com/jD7vIqtvkp
— Ignacio Gómez Villaseñor (@ivillasenor) October 5, 2025
Este artículo explica qué ocurrió, qué implicaciones podrían derivarse, el contexto institucional del C5 y las medidas anunciadas. También se responderá la pregunta central: ¿hubo realmente un hackeo al C5 más allá del defacement del portal informativo?
1. ¿Qué pasó con el sitio web del C5?
1.1 Desactivación del portal institucional
La noche del 4 de octubre, los usuarios que intentaban acceder a www.c5.cdmx.gob.mx encontraron que la página estaba deshabilitada. Inicialmente, el sitio presentaba un mensaje con un texto que decía:
“Hola, administrador, no te preocupes. Tus datos y toda tu información están seguros con nosotros. Sigue mejorando tu seguridad o esto volverá a ocurrir”,
firmado con el nombre “Marssepe”.
Más tarde, la página cambió a un aviso de “Sitio en mantenimiento” o mostraba el error 503 Service Unavailable: UnoTV
Este tipo de alteraciones del contenido de la página web (defacement) es común en ataques en los que el atacante modifica la portada sin necesariamente acceder a bases de datos internas.
1.2 Identificación del actor y tipo de ataque
El alias “Marssepe” (o “Marseppe” en algunas versiones) aparece como firma del mensaje en el sitio comprometido.
Hasta el momento no hay información pública verificable sobre su identidad real ni si está vinculado a organizaciones criminales o ciberactivistas.
El ataque, por cómo se presenta, corresponde a un defacement o modificación del contenido público del sitio, más que un robo masivo de datos; es decir, el intruso cambia lo que ve el público, pero no necesariamente tiene acceso profundo a los sistemas internos.
2. ¿Se vulneraron los sistemas operativos o los datos sensibles?
2.1 Aislamiento entre el portal web y los sistemas críticos
El C5 y la ADIP han afirmado que los sistemas de operación (cámaras, videovigilancia, líneas de emergencia, bases de datos críticas) no están conectados al portal informativo. En otras palabras, el sitio web es solo informativo y está aislado tecnológicamente de los sistemas operativos de seguridad. Por ello, según las autoridades:
-
No se accedió ni modificó información sensible
-
Las cámaras y sus flujos permanecen operando
-
Los sistemas de despacho de emergencias siguen funcionando con normalidad
2.2 Opinión del C5: afectación solo al portal
El C5 ha comunicado que el incidente solo afectó la web informativa y que no hubo acceso, manipulación ni filtración de datos internos.
Sin embargo, como suele considerarse en ciberseguridad, ninguna afirmación debe considerarse definitiva hasta una auditoría forense. La posibilidad de que exista un acceso lateral “escondido” no puede descartarse públicamente sin evidencia técnica.
2.3 Comparativo de riesgos
| Riesgo potencial | Estado informado | Observaciones |
|---|---|---|
| Modificación del sitio web | Sí | Confirmado por el mensaje de “Marssepe” |
| Acceso a bases de datos | No | Según autoridades, el sitio no alberga datos sensibles |
| Filtración de flujos de cámaras | No | Sistemas aislados (según versión oficial) |
| Acceso remoto a sistemas operativos | No (denegado) | No reportado oficialmente, sin evidencias públicamente verificadas |
3. Contexto institucional del C5 en la Ciudad de México
3.1 ¿Qué es el C5?
El Centro de Comando, Control, Cómputo, Comunicaciones y Contacto Ciudadano (C5) es una dependencia de la Ciudad de México responsable de coordinar el monitoreo de cámaras de videovigilancia, operar alertas de seguridad, recibir reportes de emergencias y proporcionar información estratégica para seguridad pública.
3.2 Estructura tecnológica y evolución
La red de vigilancia del C5 incluye decenas de miles de cámaras distribuidas en las 16 alcaldías, con capacidad de video en tiempo real, integración con alertas sísmicas, botones de auxilio, altavoces de emergencia, etc.
En administraciones anteriores han existido denuncias o rumores sobre hackeos, interferencia con cámaras o filtraciones, pero muchas de esas afirmaciones no han sido comprobadas públicamente mediante auditorías independientes.
Por ejemplo, ha habido señalamientos previos de que ciertos grupos criminales intentaron infiltrar sistemas de vigilancia o realizar espionaje digital, aunque esas acusaciones muchas veces quedaron en el terreno de la especulación.
3.3 Dependencia de la ADIP
La Agencia Digital de Innovación Pública (ADIP) de la Ciudad de México es la entidad encargada de supervisar y asesorar los servicios digitales gubernamentales, incluyendo la seguridad informática de portales estatales. En este caso, ADIP fue mencionada como colaboradora para reforzar la seguridad tras el incidente.
4. Posibles escenarios y riesgos
Aunque el incidente parece haberse limitado al portal informativo, existen escenarios hipotéticos y riesgos que conviene considerar:
-
Acceso lateral no detectado: el atacante podría haber logrado algún nivel de persistencia interna, incluso sin evidencias visibles hasta ahora.
-
Filtración futura retardada: datos podrían extraerse en el tiempo si hay puertas traseras ocultas.
-
Desconfianza pública y reputacional: aunque no haya compromisos reales, el hecho genera alarma en la ciudadanía y cuestionamientos sobre la solidez de la infraestructura digital.
-
Repetición de ataques: si la vulnerabilidad explotada no es corregida, se podría producir un nuevo defacement o ataque con mayor escala.
-
Uso de la información pública alterada: el contenido modificado (mensaje del atacante) podría emplearse con fines de desinformación o propaganda.
5. Reacción oficial y medidas adoptadas
5.1 Comunicados públicos
-
El C5 y la ADIP han informado que los sistemas de vigilancia y emergencias no resultaron afectados y que el portal web es independiente de los sistemas críticos.
-
Se anunció la coordinación inmediata para realizar análisis forenses digitales y reforzar la seguridad del portal.
-
El sitio web sigue inaccesible; por el momento muestra mantenimiento.
-
5.2 Acciones técnicas esperables
Aunque no hay confirmación pública detallada, en casos similares se esperan los siguientes pasos:
-
Auditoría forense digital para determinar el alcance del acceso
-
Revisión de logs, archivos cambiados y cuentas con privilegios
-
Parcheo de vulnerabilidades en el CMS o servidores
-
Fortalecimiento de medidas de monitoreo, alertas y detección de intrusiones
-
Revisión del aislamiento entre servicios públicos y sistemas sensibles
-
Comunicación transparente hacia la ciudadanía sobre hallazgos
6. Lecciones y recomendaciones
-
Separación de funciones críticas y portales públicos
Que el portal web sea meramente informativo y esté físicamente aislado de sistemas sensibles es una buena práctica, y parece haber sido clave para evitar daños mayores. -
Monitoreo continuo y detección temprana
Sistemas de monitoreo en tiempo real, alertas de integridad de archivos y análisis de logs son indispensables para detectar defacements o accesos no autorizados. -
Auditoría independiente y transparencia
Para generar confianza pública, un organismo externo podría auditar el incidente y publicar un resumen técnico verificable. -
Plan de recuperación actualizado
Tener procedimientos de respaldo, restauración y protocolos de respuesta a incidentes (IRPs) bien definidos. -
Concientización y capacitación interna
Un gran número de ataques exitosos se originan por credenciales comprometidas, errores humanos o falta de formación en ciberseguridad.
7. Conclusión
El episodio del hackeo al C5 se limitó, según las versiones oficiales, al defacement del portal web informativo, sin comprometer los sistemas de operación, videovigilancia ni los datos sensibles. Aunque la estructura institucional del C5 parece contar con un buen grado de aislamiento entre su sitio web y sus sistemas internos, la transparencia, auditoría técnica y reforzamiento de controles serán clave para mantener la confianza ciudadana.
En este momento no hay evidencia pública verificable de que haya existido un acceso profundo más allá de la portada del sitio web, pero esto no descarta que pudieran existir fallas ocultas aún no detectadas. Las investigaciones técnicas determinarán el alcance real.
8. Fuentes:
-
Latinus. (5 de octubre de 2025). Hackean página del C5 de la CDMX. Latinus. Recuperado de https://latinus.us/mexico/2025/10/5/c5-descarta-afectaciones-operacion-informacion-sensible-tras-hackeo-de-su-sitio-web-153583.html
-
MVS Noticias. (5 de octubre de 2025). Ciberataque al sitio web del C5; ¿Qué fue lo que pasó? MVS Noticias. Recuperado de https://mvsnoticias.com/nacional/cdmx/2025/10/5/ciberataque-al-sitio-web-del-c5-que-fue-lo-que-paso-714099.html
-
La Prensa / OEM. (5 de octubre de 2025). ¿Hackeo en el C5? El organismo aclara presunto ataque cibernético. La Prensa. Recuperado de https://www.la-prensa.com.mx/la-prensa/metropoli/que-pasa-con-el-c5-presunto-hackeo-alerta-a-ciudadanos-26135225
-
Posta. (5 de octubre de 2025). ¿Hackearon la página del C5? Esto dicen las autoridades de CDMX. Posta. Recuperado de https://www.posta.com.mx/cdmx/hackearon-la-pagina-del-c5-esto-dicen-las-autoridades-de-cdmx/vl2106391
-
Uno TV. (4 de octubre de 2025). Desaparece página del C5 de la SSC, en redes acusan ciberataque. Uno TV. Recuperado de https://www.unotv.com/estados/ciudad-de-mexico/desaparece-pagina-del-c5-de-la-ssc-en-redes-acusan-ciberataque/