El sistema educativo mexicano, en el centro de una tormenta de ciberataques y filtraciones masivas

Durante 2025, el sistema educativo de México se ha visto inmerso en una serie de ciberataques coordinados que han dejado al descubierto severas deficiencias en la protección de información personal de millones de estudiantes, docentes y trabajadores administrativos.

Detrás de esta ola de incidentes se encuentran varios grupos cibercriminales, entre los cuales se encuentra Sociedad Privada 157 (SP157), responsable de múltiples filtraciones que comprometieron plataformas bajo la supervisión de la Secretaría de Educación Pública (SEP), entre ellas el Sistema Integral de Información Educativa (SIIE), EscuelaNET y el Sistema Único de Beneficiarios de Educación Superior (SUBES).

Las filtraciones, ampliamente registradas por periodistas y analistas, entre ellos Ignacio Gómez Villaseñor y la unidad de investigación de SILIKN, revelan una fragilidad estructural en la infraestructura tecnológica del sistema educativo mexicano, así como una alarmante ausencia de respuesta efectiva por parte de las autoridades.

El 8 de abril de 2025, la unidad de investigación de SILIKN advirtió, tras los primeros ciberataques registrados, que la naturaleza interconectada de las instituciones educativas afectadas —como los CBTIS y CETIS, pertenecientes a la Dirección General de Educación Tecnológica Industrial y de Servicio (DGETI) y dependientes de la Secretaría de Educación Pública (SEP)— podría haber permitido al atacante comprometer la infraestructura central, obteniendo así acceso a la información de múltiples centros de bachillerato.

El informe también alertó sobre la posibilidad de una escalada de incidentes, señalando que podrían producirse nuevas filtraciones si el agresor lograba infiltrarse en un servidor que interconectara dichas instituciones, escenario que posteriormente se confirmó.

En un entorno donde los sistemas educativos operan sobre infraestructuras tecnológicas compartidas, el riesgo de propagación es elevado. Muchas dependencias gubernamentales utilizan recursos comunes para reducir costos, lo que incluye hardware, software, servidores, redes e infraestructura. Por ello, una vulneración en un solo sistema puede facilitar el acceso a otros que estén interconectados, tal como se ha comprobado en estos casos.

A pesar de que las primeras alertas se emitieron desde abril de 2025, la SEP ha mantenido una postura de negación constante, minimizando los hechos y dejando expuesta la información personal de millones de menores de edad.

El grupo SP157 inició sus ataques en abril de 2025, dirigiéndose primero a los Centros de Bachillerato Tecnológico (CBTIS y CETIS). Estos primeros incidentes anticiparon una expansión nacional que se concretó en los meses siguientes, aprovechando contraseñas débiles —como “12345”— y la ausencia de mecanismos básicos de autenticación en dos pasos (2FA).

Entre mayo y junio, los ciberatacantes filtraron los datos de 75,000 menores y padres de familia vinculados al programa de becas de la Ciudad de México, además de más de un millón de registros escolares provenientes de 1,600 instituciones a través de la plataforma Servoescolar.

En julio, las brechas se extendieron a la Secretaría de Educación de Quintana Roo, con 250,000 afectados, y a la SEDUZAC de Zacatecas, donde los datos médicos y tipos de sangre de más de 400,000 alumnos fueron expuestos y posteriormente comercializados en foros del mercado negro digital.

La situación alcanzó su punto más grave en octubre de 2025, cuando SP157 intensificó su ofensiva.

El 7 de octubre, se divulgaron datos personales y médicos de miles de estudiantes y docentes de CBTIS y CETIS en Baja California.

El 9 de octubre, una filtración en 15 escuelas primarias de Tamaulipas incluyó información sensible de directores y alumnos, entre ellos historiales médicos y tipos de sangre.

La cadena de ataques continuó el 10 de octubre con 22 escuelas afectadas en Chiapas, y el 13 de octubre, los sistemas del SIIES en Baja California y Torreón volvieron a filtrar información médica de menores.

Un día después, el 14 de octubre, la base de datos del Sistema Integral de Escuelas Normales de Tlaxcala fue vulnerada, exponiendo a 3,249 alumnos, cuyos CURP, domicilios, calificaciones y contraseñas cifradas quedaron en manos de los atacantes.

Hacia finales del mes, los ataques se multiplicaron.

El 24 de octubre, SP157 publicó 13 gigabytes de información perteneciente a 19,000 estudiantes de 11 CBTIS ubicados en Querétaro, Guanajuato, Morelos, Puebla y Veracruz, incluyendo fotografías y datos médicos.

Dos días después, el 26 de octubre, se reportaron tres filtraciones más en Campeche, con 452,000 registros y 30 gigabytes de documentos relacionados con becas superiores.

La escalada continuó los días 27, 28 y 29 de octubre, con el acceso administrativo al sistema SUBES y la publicación de datos personales de escuelas primarias en Sonora, entre ellos nombres de tutores y domicilios particulares.

A pesar de la magnitud de los hechos, la Secretaría de Educación Pública ha sostenido una postura de negación total. En diversos comunicados, la dependencia ha asegurado que sus sistemas no han sido vulnerados y que la información de la comunidad educativa se mantiene segura.

Tras las filtraciones del 26 de octubre, la SEP calificó los reportes como “falsos” e instó a la ciudadanía a atender únicamente fuentes oficiales. Sin embargo, expertos y periodistas han cuestionado duramente esta respuesta.

En este sentido, la falta de transparencia, la ausencia de notificaciones a las familias afectadas y la inexistencia de auditorías técnicas reflejan una preocupante negligencia institucional.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares, actualizada en 2025, obliga a las instituciones a notificar de inmediato cualquier vulneración que afecte derechos patrimoniales o morales.

Hasta la fecha, no se ha emitido una sola notificación pública transparente y satisfactoria ni se ha presentado un plan de mitigación por parte de la SEP.

Las consecuencias de estos ciberataques son graves y de largo alcance.

Los datos comprometidos —entre ellos CURP, domicilios, fotografías, tipos de sangre, historiales médicos y datos socioeconómicos— colocan a millones de menores en situación de vulnerabilidad ante delitos como extorsión, fraude o robo de identidad.

La unidad de investigación de SILIKN advierte que, en escenarios más críticos, la información podría ser aprovechada por redes delictivas dedicadas al narcotráfico, la trata de personas o la venta de órganos.

En foros en Internet y la dark web, se han detectado bases de datos en venta con precios que van desde 2,200 dólares por estado hasta 250 dólares por entidad, lo que facilita su adquisición y explotación.

Además del daño individual, estas filtraciones erosionan la confianza pública en el sistema educativo y profundizan las brechas digitales en comunidades vulnerables.

La unidad de investigación de SILIKN coincide en que México enfrenta una crisis estructural de seguridad digital en el sector educativo, derivada de la ausencia de políticas preventivas, auditorías independientes y protocolos de respuesta efectivos, por lo que se recomienda la implementación obligatoria de autenticación en dos pasos, la realización de auditorías externas periódicas y la creación de mecanismos de comunicación transparente con los padres y tutores.

Mientras tanto, las familias son exhortadas a revisar las cuentas escolares, a proteger la actividad digital de sus hijos, a actualizar contraseñas y mantenerse alertas ante posibles fraudes o usos indebidos de la información.

Sin una reacción decidida por parte de las autoridades, el riesgo de nuevas filtraciones sigue presente, evidenciando la urgente necesidad de una estrategia nacional integral de ciberseguridad educativa.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | NIST Cybersecurity Framework 2.0 Certified Expert (CSFE) | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.

X: https://x.com/victor_ruiz

Instagram:https://www.instagram.com/silikn

YouTube:https://www.youtube.com/@silikn7599

**Los comentarios emitidos en esta columna son responsabilidad de quien las escribe y no necesariamente coinciden con la línea editorial de Infobae México, respetando la libertad de expresión de expertos.