Que te hackeen es algo grave, pero cuando el ataque afecta a más de 800 mil estudiantes, la situación pasa a otro nivel. Eso fue justo lo que le ocurrió a la SEP (Secretaría de Educación Pública) de Hidalgo. Un hacker conocido como Masco puso en jaque a la SEP, exponiendo datos sensibles de estudiantes, maestros y trabajadores del sistema educativo. Según el propio atacante, logró acceso completo a los sistemas de la Secretaría de Educación Pública del estado, lo que significa que podría tener en sus manos información de más de 873 mil personas. Y para probar que no estaba bromeando, Masco (quien forma parte de un grupo llamado Mexican Mafia) publicó documentos que incluyen credenciales del INE, diplomas, registros familiares, CURP, boletas de calificaciones y más.
Por si fuera poco, el hacker liberó 2.7 GB de datos de forma gratuita, afectando a unas 100 personas inicialmente. Sin embargo, advirtió que, si el sistema sigue abierto, podría acceder a un total de 20 terabytes de información almacenada en los servidores de la dependencia. Es decir, este ataque apenas podría ser la punta del iceberg.
El grupo Mexican Mafia, al que pertenece Masco, ha estado detrás de varios ataques a instituciones gubernamentales durante 2024, y esta vez eligió publicar su "hazaña" en un foro de la deep web especializado en actividades de ciberdelincuencia. En este tipo de foros, los datos robados suelen venderse para cometer delitos como robo de identidad, fraudes financieros o incluso tramitación de créditos fraudulentos.
La gravedad de este ataque no solo está en la cantidad de información comprometida, sino en la calidad de los datos expuestos. Hablamos de información que podría ser usada para suplantar identidades, extorsionar o llevar a cabo estafas dirigidas. Mientras tanto, miles de estudiantes y trabajadores de la educación quedan vulnerables ante este tipo de delitos.
Conoce más sobre: México Sufre 781 Ciberataques Diarios
Hackeos a la SEPH Prenden las Alarmas por Falta de Ciberseguridad
Los hackeos a la SEPH no son nada nuevo, y este último ataque vuelve a poner en evidencia los problemas de ciberseguridad de la dependencia. Para colmo, ya en noviembre de 2023 la Secretaría enfrentó otro golpe, aunque esta vez no solo comprometió información, sino también dinero público: casi 144 millones de pesos, según un informe de la Auditoría Superior del Estado de Hidalgo (ASEH).
Resulta que ese dinero fue destinado a contratar a una empresa llamada Aktaion Digital, supuestamente para recuperar datos de máquinas y discos duros virtuales después de un hackeo que habría ocurrido el 10 de marzo de 2022. Hasta aquí todo parece en orden, ¿no? Bueno, no tanto. La ASEH señaló que no hay suficiente documentación que respalde que el hackeo realmente ocurrió o que la recuperación de datos fuera necesaria.
En otras palabras, no solo enfrentaron un ciberataque, sino que además gastaron millones en una solución que podría no haber sido transparente. Este tipo de situaciones no solo encienden las alarmas sobre los riesgos tecnológicos, sino también sobre cómo se manejan los recursos públicos en casos tan graves como este.
El 23 de agosto, el propio titular de la SEPH, Natividad Castrejón Valdez, reconoció que el portal de la Secretaría fue hackeado, afectando el proceso de descarga de vales de útiles escolares para el ciclo actual. "Me reportan un sabotaje, porque es muy sospechoso que en media hora entren diez mil solicitudes desde un mismo servidor", comentó en su momento. Todo indica que fue un ataque DDoS (denegación de servicio distribuido), que básicamente consiste en bombardear un sistema con miles de solicitudes hasta que colapsa. Esto fue lo que terminó retrasando la entrega de los vales para los estudiantes.
Conclusión
El hackeo a la SEP de Hidalgo es una llamada de atención seria para todas las instituciones, tanto públicas como privadas, en México. Adoptar sistemas digitales trae muchos beneficios, pero también abre la puerta a riesgos que no se pueden ignorar. La seguridad cibernética tiene que ser una prioridad en cualquier empresa, sobre todo cuando está en juego la privacidad de miles o incluso millones de personas.
Conforme la tecnología avanza, las técnicas de los atacantes también se vuelven más sofisticadas. Por eso, invertir en ciberseguridad ya no es un lujo, sino una necesidad. Solo así podemos asegurarnos de que la digitalización sea una ventaja y no una amenaza.
Si estás buscando proteger tu organización contra estos riesgos o necesitas asesoría en ciberseguridad, contáctanos. Estamos aquí para ayudarte a fortalecer tus sistemas y evitar que te conviertas en la próxima víctima de un ataque.