PEMEX alertó sobre fraudes que ofrecen inversiones, supuestos contratos, “gestión” de trámites y venta de plazas, incluyendo videos generados con IA y suplantación de identidad. Este brief ejecutivo explica el modus operandi, el impacto para proveedores y público general, y un set de controles verificables para cortar el riesgo antes de transferir dinero o datos.
La alerta de PEMEX es un aviso operativo, no un comunicado de “concientización” genérica: la empresa identificó mensajes fraudulentos vinculados a promotores de inversiones, supuestos contratos, reclutadores que piden pagos anticipados, y gestores que ofrecen destrabar trámites por comisión, incluyendo videos generados con inteligencia artificial para suplantar identidad de servidores públicos.
En términos de riesgo, el fraude se materializa cuando cruza tres umbrales: (1) solicitud de dinero, (2) captura de datos (personales o corporativos) y (3) inducción a usar “canales alternos” (correos, mensajería, dominios no oficiales) para saltarse controles.
A continuación, el “playbook” real: cómo se instrumenta, a quién pega y qué controles deben activarse para cortar el riesgo antes de que llegue a tesorería, legal o recursos humanos.
PEMEX apunta a plataformas digitales y perfiles falsos; en campo, esto suele traducirse en un mix de: redes sociales, mensajería (WhatsApp/Telegram), correo electrónico y landing pages apócrifas que imitan comunicación institucional.
a) “Contrato/inversión” con ventana limitada
Se presenta una “oportunidad” con urgencia: cupos limitados, “lote de contratos”, “inversión con rendimiento” o “participación” a cambio de un pago para “apartar”, “activación”, “gestoría” o “comisión”. PEMEX fue explícito: no promueve inversiones a población en general y no tiene intermediarios.
b) “Onboarding acelerado” para proveedores
El atacante se posiciona como “enlace”, “subgerencia” o “intermediario” y ofrece “facilitar” alta de proveedor, habilitación de pagos, liberación de órdenes o “trámite” por compensación económica. PEMEX advierte sobre este vector: gestores que prometen facilitar trámites a cambio de comisión.
c) “Empleo/plaza” con anticipo
Se ofrece contratación, plaza o acceso a bolsa de trabajo con pago anticipado (“comisión”, “examen”, “uniforme”, “gafete”, “apertura de expediente”). PEMEX subraya que no oferta empleos por particulares o bolsas no institucionales.
d) “Deepfake” para dar legitimidad
La novedad crítica es el uso de videos con IA para suplantar a servidores públicos o “voceros” y eliminar fricción psicológica (“si lo dice en video, es real”). PEMEX lo documenta como parte del modus operandi.
Pago anticipado por cualquier concepto (gestión, comisión, “apertura”, “registro”, “garantía”).
Solicitud de transferencias a cuentas personales o a razones sociales sin relación verificable con el proceso.
“Gestores” que piden documentación sensible (INE, RFC, actas, poderes, estados de cuenta, e.firma) fuera del canal formal.
Presión por confidencialidad (“no lo escales”, “es directo”, “es excepcional”) y urgencia para saltar validaciones.
Uso de correos/dominios no institucionales o perfiles recién creados; cambios frecuentes de número.
Videos con IA donde el discurso se centra en “pago para avanzar” más que en requisitos técnicos.
Para la cadena de suministro, este fraude es peligroso por dos razones: desvía pagos y contamina expedientes.
Desvío de anticipos: el atacante induce “pagos para liberar contrato” o “asegurar adjudicación”. Esto genera pérdidas directas y, además, expone a la empresa a hallazgos internos si no se siguió control de pagos.
Compromiso de datos: documentación corporativa entregada a un tercero (poderes, identificaciones, RFC, cuentas bancarias) habilita fraudes posteriores: suplantación, apertura de cuentas, facturación apócrifa, ataques de BEC (Business Email Compromise).
Riesgo de cumplimiento: interactuar con “intermediarios” puede activar banderas internas de anticorrupción, aun cuando el proveedor sea víctima. PEMEX fue explícito: no tiene intermediarios con proveedores; operar con “gestores” es, por definición, un desvío del camino controlado
Ruido operativo: equipos de legal/procurement pierden semanas “limpiando” expedientes, y tesorería invierte tiempo en reversos o aclaraciones.
Aquí la afectación es doble: patrimonio y identidad.
Venta de plazas/empleos: el pago anticipado se justifica como “gestión” o “palanca”. El impacto no es solo monetario; el usuario entrega datos personales que pueden usarse para extorsión o fraudes posteriores.
Inversión falsa: se promueven supuestos instrumentos “respaldados por PEMEX” y se usan deepfakes para dar autoridad. PEMEX reiteró que no promueve inversiones dirigidas a la población en general.
La diferencia entre “recomendación” y “control” es que el control deja evidencia, es auditable y corta la pérdida antes del pago.
Cualquier interacción que implique contrato, alta de proveedor, liberación de trámite o empleo debe activar un call-back a un contacto validado por la organización (no el que viene en el mensaje).
Segregar: quien recibe el contacto no autoriza pagos; tesorería no paga sin validación documental de procurement/legal.
Política simple: solo se atienden comunicaciones por canales oficiales y contactos verificados.
Identidad: si hay “funcionario” o “enlace”, exigir verificación por el canal institucional (y documentar fecha/hora/evidencia).
PEMEX indicó que únicamente informa por canales oficiales y que los mensajes fraudulentos usan perfiles falsos y videos con IA.
Regla de tesorería: no existe pago por “gestoría”, “comisión” o “apartar”. Solo pagos contra hitos verificables: orden/contrato validado, entregable, aceptación y cuenta bancaria confirmada por proceso interno.
Bandera roja automática: “pago para liberar” o “pago para agilizar”.
Si aparece un “gestor” ofreciendo facilitar trámites, tratarlo como indicador de fraude y criterio de rechazo del proceso, no como “tercero útil”.
Esto está alineado con el propio comunicado: PEMEX advierte sobre gestores que prometen facilitar trámites a cambio de comisión.
Todo documento recibido debe quedar en repositorio controlado con:
hash (o folio interno), fecha, origen, responsable y propósito;
“ruta de aprobación” (quién validó y con qué evidencia).
Esto reduce el riesgo de que un expediente “contaminado” avance por inercia.
Un operador serio debe tener un mini-protocolo:
Congelar pagos y envío de documentos.
Preservar evidencia (capturas, correos, números, cuentas).
Notificar a compliance, legal, ciberseguridad y procurement.
Revalidar cualquier proceso abierto con canal oficial.
Bloquear dominios/cuentas/números en herramientas internas.
PEMEX pide no compartir contenido engañoso y remite a mecanismos institucionales de denuncia y vigilancia.
El punto no es que “hay estafas”, sino que el sector energético mexicano está viendo una profesionalización del fraude: la suplantación con IA reduce el costo de “parecer legítimo”. En procurement, esto eleva la necesidad de controles de verificación y evidencia; en capital humano, obliga a blindar el reclutamiento; y en comunicación externa, exige claridad sobre canales oficiales.
PEMEX ya fijó la línea operativa: no inversiones a población general, no empleos por particulares, no intermediarios para proveedores y trámites. El resto —pago anticipado, gestores, deepfakes— debe tratarse como señal de incidente, no como anomalía menor.
Todos los campos son obligatorios *
Escríbenos a
[email protected]
