Un ciberdelincuente identificado como MagoSpeak, integrante de la agrupación SpeakTeam, vulneró las bases de datos de dos instituciones educativas públicas del estado de Puebla: la Benemérita Universidad Autónoma de Puebla (BUAP) y el Benemérito Instituto Normal del Estado General Juan Crisóstomo Bonilla (BINE).
PUEBLA DE ZARAGOZA, PUEBLA. — Las bases de datos fueron puestas a la venta en canales de Telegram. Ninguna de las dos instituciones ha emitido un comunicado oficial.
La filtración no es una amenaza abstracta. MagoSpeak presentó como prueba una muestra de 2,404 registros de alumnos de la BUAP y 1,740 del BINE, distribuidos en archivos CSV de descarga directa. El medio e-consulta cruzó los datos con cuatro estudiantes, quienes confirmaron la veracidad de la información expuesta. Los datos comprometidos incluyen: nombre completo, CURP, domicilio, teléfono, correo electrónico, fecha y entidad de nacimiento, promedio, folio escolar, claves internas del sistema SIGED, si el alumno pertenece a una comunidad indígena, si recibe dinero de algún programa social y si tiene alguna discapacidad. En el caso del BINE, se agrega además el ingreso económico del estudiante, su edad, si reside en un municipio con violencia y el grado de marginación del municipio de origen.
No se trata de datos genéricos. Se trata del perfil socioeconómico completo de estudiantes, en su mayoría jóvenes de escasos recursos que acceden a educación pública. La filtración no solo expone su identidad: expone su vulnerabilidad.
La ironía de la ciberseguridad institucional
La BUAP presume contar con una red interna de ciberseguridad y ofrece una Ingeniería en Ciberseguridad en su Facultad de Ciencias de la Computación. El BINE depende directamente de la SEP y, por extensión, de la infraestructura de ciberseguridad del Gobierno del Estado de Puebla. Ambas instituciones fueron vulneradas por el mismo actor, en la misma operación, con el mismo método, y con resultados igualmente públicos.
La cuenta oficial de la BUAP en X (@BUAPoficial) no cuenta con verificación institucional. La universidad tuvo que emitir previamente un comunicado pidiendo a sus propios aspirantes que no se dejaran engañar por cuentas falsas, mientras que la cuenta real es indistinguible de una apócrifa. MagoSpeak, en contraste, opera con canal verificado en Telegram y firma sus filtraciones con marca propia.
Un patrón nacional, no un caso aislado
SpeakTeam no se detuvo en Puebla. La misma agrupación vulneró las bases de datos de al menos 20 instituciones educativas en todo el país, entre ellas la Universidad Autónoma de Guerrero, la Universidad de Guanajuato, la Universidad de Ciencias y Artes de Chiapas, la Universidad de Guadalajara, la Universidad Autónoma del Estado de México, la Universidad de la Salud, las Universidades Tecnológicas del Centro de Veracruz, el Instituto Tecnológico del Istmo, el Instituto Tecnológico Superior de Irapuato, la Universidad Autónoma del Estado de Morelos, la Universidad Autónoma Benito Juárez de Oaxaca, la Universidad Mexiquense del Bicentenario, la Benemérita Escuela Nacional de Maestros, la Benemérita Escuela Normal de Coahuila, la Benemérita Escuela Normal Urbana Federal Fronteriza, la Benemérita y Centenaria Escuela Normal de Jalisco, el Instituto Tecnológico del Valle de Etla y el Instituto Tecnológico del Valle de Oaxaca. El denominador común: bases de datos con información altamente sensible de estudiantes, sistemas desactualizados y ausencia total de respuesta institucional pública.
Concluida la ronda de hackeos a universidades durante marzo de 2026, MagoSpeak escaló objetivos. El 12 de abril de 2026 se detectó en la dark web una base de datos que compromete información personal y financiera de 200 mil clientes de BBVA México, incluyendo detalles sobre líneas de crédito, distribuida mediante enlace de descarga directa.
El silencio como política institucional
Ni la BUAP ni el BINE han emitido comunicado alguno reconociendo la filtración, informando a los afectados ni anunciando medida correctiva alguna. La Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados establece la obligación de notificar a los titulares cuando sus datos han sido vulnerados. Esa obligación legal existe en el papel. En la práctica, las instituciones optaron por el único recurso que dominan mejor que la ciberseguridad: no decir nada.
Los estudiantes cuyos datos fueron filtrados no recibieron aviso. No saben que su CURP, su domicilio, su condición de discapacidad o su ingreso familiar están circulando en canales de venta en Telegram. No lo saben porque nadie se los dijo. Y nadie se los dijo porque hacerlo implicaría asumir una responsabilidad que las instituciones no están dispuestas a reconocer.
La pregunta no es si el sistema educativo mexicano (POBLANO) tiene problemas de ciberseguridad. Eso ya está documentado, reiterado y confirmado con nombres, cifras y capturas de pantalla. La pregunta es cuántas filtraciones más necesitan ocurrir antes de que una institución pública en México diga, con todas sus letras: fallamos, sus datos están expuestos, esto es lo que haremos al respecto.
Por ahora, la respuesta sigue siendo silencio.
0 Comentarios