Una grave filtración de datos escolares pone en peligro la información personal de más de un millón de estudiantes en México: la plataforma Servoescolar, utilizada por al menos 1,600 instituciones educativas en el país, fue vulnerada y está siendo explotada por grupos de ciberdelincuentes que comercian con miles de cuentas de acceso.

Publimetro México pudo confirmar que las credenciales de miles de estudiantes están siendo ofrecidas en grupos de cibercrimen, en donde se solicita específicamente acceso a las cuentas de Servoescolar. Estos grupos operan en servicios como Telegram y SimpleX, donde los hackers —o personas con intenciones maliciosas— están utilizando bots automatizados, como el conocido bot Akula, para obtener muestras de hasta 100 contraseñas de prueba de distintas instituciones educativas.

Akula, el bot criminal, distribuye paquetes de contraseñas de Servoescolar en Telegram y SimpleX. Captura: Publimetro México

Al respecto, el especialista en ciberseguridad y director de Nico Tech Tips, Nicolás Azuara, explica que quienes buscan obtener más accesos simplemente pagan y reciben paquetes adicionales. De este modo, los atacantes —que pueden utilizar estos datos para cometer fraudes— logran acceder a la información de miles de usuarios.

Accesos funcionales a información altamente sensible

Durante la investigación, el autor de esta pieza periodística —Ignacio Gómez Villaseñor— confirmó al menos 50 accesos funcionales a cuentas activas de Servoescolar, confirmando la gravedad del incidente. Los accesos permitieron ingresar a expedientes escolares reales de alumnos activos, revelando información altamente sensible, incluyendo:

Nombre completo del alumno y sus padres.

Fecha y lugar de nacimiento.

CURP del estudiante.

Dirección completa y código postal.

Teléfonos celulares y correos electrónicos de alumnos y familiares.

Matrícula, grupo y plan de estudios.

Historial académico completo con calificaciones.

Fotografías recientes de los estudiantes.

Estados de cuenta con detalle de pagos y mensualidades.

Información financiera y adeudos escolares.

Los datos expuestos incluyen CURP, domicilios, fotografías, pagos y calificaciones escolares.

El riesgo alcanza desde niños pequeños hasta universitarios

La magnitud del problema es crítica, pues Servoescolar es usado tanto por colegios de educación básica (preescolar, primaria y secundaria), como por universidades y escuelas de posgrado privadas. Esto significa que los datos comprometidos involucran tanto a menores de edad como a adultos.

Entre las instituciones educativas identificadas que utilizan Servoescolar están la Universidad Vizcaya de las Américas, Universidad Kino, Universidad Pontificia de México, La Salle Pachuca, la Universidad Cuauhtémoc de Guadalajara, el Colegio Margil, Instituto Oriente, el Instituto Hispano Inglés, el Colegio Cervantes, el Colegio España, el Colegio Del Valle, la Escuela de la Ciudad de Aguascalientes, el Colegio Tierra Nueva, IDENAP, Prepa Lorentz, Universidad del Golfo de California, Nuevos Horizontes Global School, Pablo de Anda Escuela de Enfermería y el sistema UIEST, entre otros.

Una filtración de al menos 15 mil usuarios comprometidos

El análisis de los datos —realizado por Publimetro México— en bases de inteligencia como White Intel y Dehashed permite estimar que al menos 15 mil usuarios de Servoescolar ya están comprometidos de manera directa en estas redes de filtración; sin embargo, los cibercriminales continúan alimentando estos bots, lo que indica que la cifra podría seguir creciendo en las próximas semanas.

Malware e infostealers facilitaron el robo de credenciales usadas en las instituciones. Fuente: White Intel

Sin controles de seguridad para frenar accesos no autorizados

Uno de los aspectos más críticos de la vulnerabilidad de Servoescolar es que la plataforma no cuenta con ningún sistema robusto de seguridad adicional que limite los accesos no autorizados. No hay verificación en dos pasos (2FA), no hay detección de accesos irregulares ni bloqueo de inicios de sesión por geolocalización sospechosa. Basta con tener usuario y contraseña, filtrados en miles de sitios, para ingresar directamente a las cuentas de los alumnos.

Las plataformas carecen de controles de seguridad como verificación en dos pasos.

Así logran los hackers obtener las contraseñas escolares

El origen de la filtración de estas credenciales es múltiple. Muchos de los usuarios fueron víctimas de infostealers, malware que se instala en dispositivos móviles o computadoras y roba automáticamente credenciales guardadas en navegadores o aplicaciones.

Otras credenciales fueron recolectadas de gigantescos combolist que circulan en la dark web y que contienen millones de combinaciones de correos y contraseñas reutilizadas. Posteriormente, los hackers utilizan bots como Akula para automatizar la reventa y filtrado específico de estas bases, permitiendo a otros ciberdelincuentes solicitar accesos directos a Servoescolar.