El gobierno del estado de Colima habría sido víctima de un ciberataque con ransomware, luego de que el grupo internacional Devman publicó en su sitio de filtraciones que logró cifrar todos los archivos y bloquear por completo la red interna del estado.
La alerta fue difundida por Víctor Ruiz, instructor certificado en ciberseguridad y fundador de SILIKN, quien confirmó que el incidente fue reivindicado públicamente por los propios atacantes. En declaraciones a Publimetro México, Ruiz alertó que este ataque podría culminar en la filtración masiva de datos confidenciales del estado.
“Las consecuencias incluyen la exposición de información confidencial, interrupciones operativas en organismos críticos y riesgos para la privacidad de los ciudadanos”
— Víctor Ruiz, instructor certificado en ciberseguridad y fundador de SILIKN
Según el mensaje publicado por Devman en la darknet, todos los sistemas del gobierno fueron comprometidos y puestos en “modo de encierro”, es decir, inoperables. Hasta ahora, el grupo no ha especificado el monto del rescate exigido, lo cual podría indicar que el proceso de extorsión está en fase de presión inicial o que están esperando respuesta del gobierno local.
Devman, un grupo nuevo con conexiones peligrosas
El grupo Devman comenzó a operar en abril de 2025, pero ya suma al menos 41 víctimas en todo el mundo, de acuerdo con plataformas de ciberinteligencia como Ransomware Live. Tiene vínculos con bandas conocidas como RansomHub e INC Ransom, ambas involucradas en ataques previos a instituciones mexicanas.
Su estrategia se basa en un esquema de doble extorsión: cifran los archivos de sus víctimas y luego amenazan con liberar públicamente la información si no se realiza el pago correspondiente.
“Devman y actores similares pueden explotar vulnerabilidades ampliamente conocidas entre los grupos criminales, como sistemas sin parches y configuraciones inseguras, para maximizar el daño y aumentar sus ganancias ilícitas”
— Víctor Ruiz, instructor certificado en ciberseguridad y fundador de SILIKN
Devman ha atacado organizaciones en Sudáfrica, Estados Unidos, España, China, Singapur y, recientemente, México. A partir del 20 de junio planean lanzar su propia plataforma de ransomware como servicio (RaaS), lo que permitirá que otros grupos criminales utilicen su infraestructura para realizar ataques por encargo. Esta profesionalización del delito eleva el riesgo de que más entidades mexicanas sean afectadas en las próximas semanas.
Antecedentes preocupantes de ransomware en México
Este ataque se suma a una cadena de incidentes graves contra entidades públicas mexicanas. En noviembre de 2024, la Consejería Jurídica de la Presidencia fue atacada por RansomHub, que filtró 206 gigabytes de información sensible, incluyendo contratos oficiales y datos de funcionarios.
En mayo de 2024, el gobierno del estado de Yucatán fue amenazado por LockBit, mientras que en abril de 2025, la Secretaría de Educación de Veracruz sufrió un ataque por parte del grupo Nightspire, dejando inoperativos sus sistemas de nómina y pagos.
Riesgos para la población y el estado
El cifrado de redes gubernamentales no solo representa un problema técnico. Implica la posible interrupción de servicios públicos, la pérdida o exposición de datos personales de ciudadanos, el daño a la credibilidad institucional y la posibilidad de que esa información robada se utilice en fraudes, campañas de desinformación o extorsión secundaria.
En el caso de Colima, no hay aún un posicionamiento oficial sobre el incidente. Sin embargo, la publicación por parte de Devman en su sitio de filtraciones es un indicio de que la red estatal fue comprometida y que los atacantes buscan forzar una negociación bajo amenaza de filtración.
“Todo esto subraya la necesidad urgente de reforzar las defensas digitales en México, un pendiente prioritario que requiere atención inmediata desde todos los sectores”
— Víctor Ruiz, instructor certificado en ciberseguridad y fundador de SILIKN
