Hermosillo, Sonora.– Información confidencial de 366 niñas y niños de la Escuela Primaria Belisario Domínguez, en Nogales, fue filtrada y publicada en foros clandestinos de Internet, tras un ataque cibernético atribuido a Marssepe, un actor malicioso conocido como líder del grupo autodenominado Elite 6-27.
La filtración, revelada por el periodista Ignacio Gómez Villaseñor en colaboración con el experto en ciberseguridad Nicolás Azuara, director de Nico Tech Tips, se originó en el portal estatal yoremia.gob.mx, una plataforma del Gobierno de Sonora que centraliza datos académicos de estudiantes de educación básica.
¿Qué información fue expuesta?
Los archivos, compartidos en formatos CSV y PDF en foros de la dark web y canales de Telegram, contienen:
Nombre completo de los estudiantes
CURP, tipo de sangre, alergias y datos médicos
Calificaciones, informes psicopedagógicos y actas de nacimiento
Fotografías escolares
Información de contacto de madres, padres o tutoresFallas de seguridad
El análisis reveló que las credenciales usadas para acceder al sistema seguían activas y que el sitio carecía de mecanismos básicos de protección, como autenticación de dos factores (2FA) o alertas ante accesos inusuales. El ingreso al sistema no fue resultado de una intrusión técnica, sino del uso de credenciales filtradas previamente mediante malware tipo infostealer.
El atacante, Marssepe, ya ha sido vinculado a otras intrusiones graves en México:
Ingreso al sistema de transporte público Va y Ven, en Yucatán
Filtración de bases de datos de ocho preparatorias públicas
Acceso a más de mil correos institucionales de la Policía de Quintana RooEn todos los casos, utilizó el método ULP (User, Link, Password), que se basa en combinaciones robadas. De hecho, la herramienta White Intel identificó más de 7,400 combinaciones comprometidas del dominio yoremia.gob.mx.
La respuesta oficial
La Secretaría de Educación y Cultura (SEC) de Sonora confirmó la filtración y presentó una denuncia formal por el uso no autorizado de información institucional, cumpliendo con la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
La SEC aclaró que el portal Yoremia no fue vulnerado técnicamente, sino que el acceso se realizó con credenciales robadas. Tras el incidente, se:
Cambiaron contraseñas y se restauraron controles de acceso
Activó una brigada técnica de inspección
Notificó a la Dirección de Registro y Certificación de Educación Básica
Inició una auditoría en escuelas del municipioComo medidas adicionales, la dependencia reforzará la ciberseguridad, capacitará a directivos escolares en protección de datos y colaborará con la Unidad Cibernética de la Secretaría de Seguridad Pública para evitar futuras intrusiones.
Riesgos y advertencia
Especialistas advierten que este ataque evidencia una falla estructural en los sistemas digitales educativos. Si Marssepe pudo acceder a una escuela en Nogales, podría replicar el ataque en cualquier otra institución con credenciales comprometidas.
La exposición de estos datos no solo representa una violación a la privacidad, sino también una amenaza a la seguridad física y emocional de los menores y sus familias, al quedar su información sensible a disposición de redes delictivas.
Siguenos en Redes