Hacker Pakai AI Bobol 9 Lembaga Pemerintahan Meksiko, 195 Juta Data Warga Bocor

Serangan siber berskala besar mengguncang sistem pemerintahan Meksiko. Dalam rentang Desember 2025 hingga pertengahan Februari 2026, sembilan lembaga pemerintah baik di tingkat federal maupun negara bagian sukses diretas dalam operasi nan memanfaatkan kepintaran buatan (artificial intelligence/AI).

Peneliti dari perusahaan keamanan siber Gambit Security menyebut kejadian ini sebagai peringatan keras terhadap langkah baru kejahatan digital berkembang. Dalam laporan nan dirilis, tim peneliti mengungkap bahwa golongan mini peretas memanfaatkan model AI seperti Claude Code dari Anthropic dan GPT-4.1 untuk menembus sistem pemerintah.

Hasilnya, para pelaku sukses mencuri info dalam jumlah masif, termasuk 195 juta identitas penduduk dan catatan pajak, 15,5 juta info registrasi kendaraan, 3,6 juta info kepemilikan properti, 2,28 juta catatan tambahan mengenai properti, serta ratusan catatan sipil seperti kelahiran, kematian, dan pernikahan

Direktur threat intelligence Gambit Security, Eyal Sela, menyebut skala info nan bocor ini menunjukkan sungguh seriusnya akibat serangan tersebut.

Menariknya, para peretas tidak hanya mengandalkan keahlian teknis, tetapi juga berbincang dengan AI. Mereka menggunakan lebih dari 1.000 prompt yang menghasilkan lebih dari 5.000 petunjuk selama operasi berlangsung.

AI digunakan untuk memilah info dalam jumlah besar dan menentukan info mana nan paling berbobot untuk dicuri. Menurut laporan tersebut, pendekatan ini memungkinkan golongan mini pelaku bekerja dengan efisiensi layaknya tim besar.

Selama lebih dari dua bulan, peretas menjalankan lebih dari 400 skrip serangan khusus. Mereka juga membangun program besar untuk mengolah info dari ratusan server internal nan sukses ditembus.

Dalam fase eksekusi, Claude disebut mengambil peran dominan. Sekitar 75 persen aktivitas peretasan jarak jauh dihasilkan dan dijalankan oleh model tersebut.

Kendati begitu, sistem AI tidak sepenuhnya patuh. Dalam beberapa kasus, Claude sempat menolak permintaan tertentu, mempertanyakan legitimasi, hingga meminta bukti otorisasi sebelum menjalankan perintah.

Namun, halangan itu tidak memperkuat lama. Peneliti menemukan bahwa peretas hanya memerlukan sekitar 40 menit untuk melakukan jailbreak, ialah membobol sistem pembatas AI agar mau menjalankan perintah berbahaya.

Setelah itu, AI dimanfaatkan untuk mengidentifikasi celah keamanan, menulis kode eksploitasi, dan mengotomatisasi proses pencurian data. Sementara ChatGPT digunakan untuk mengolah dan memahami info nan sudah dicuri. Para pelaku apalagi membikin perangkat berbasis Python sepanjang 17.550 baris kode, nan menghasilkan ribuan laporan dari ratusan server nan diretas.

Chief Strategy Officer Gambit Security, Curtis Simpson, menilai akibat serangan ini tidak hanya soal kebocoran data.

“Pemulihan dari serangan ini bisa menyantap waktu berminggu-minggu hingga berbulan-bulan. Tapi membangun kembali kepercayaan publik bisa memerlukan waktu bertahun-tahun,” ujarnya.

Ia juga memperingatkan, dengan tingkat akses nan sudah dicapai pelaku, skenario terburuk sebenarnya bisa jauh lebih parah, termasuk penghapusan total info alias kerusakan sistem nan tidak dapat dipulihkan.

Kasus ini memperlihatkan gimana AI mulai mengubah lanskap kejahatan siber. Teknologi nan awalnya dirancang untuk membantu produktivitas sekarang juga bisa dimanfaatkan untuk mempercepat dan memperluas skala serangan. Dengan keahlian memproses info secara sigap dan menemukan celah keamanan secara otomatis, AI memberi kekuatan baru bagi pelaku kejahatan digital.