Un hacker con historial de filtraciones confirmadas en México ha publicado en un foro clandestino internacional una supuesta base de datos robada a la Secretaría de Educación del estado de Zacatecas (SEDUZAC), que incluye información personal de estudiantes, maestros y personal administrativo.
El contenido más alarmante: datos de menores de edad como nombre completo, CURP, dirección y hasta tipo de sangre. Minutos después de la publicación, el atacante exigió 20 mil dólares a cambio de no liberar la información completa.
La filtración fue realizada por el cibercriminal conocido como Kazu, un vendedor activo en foros delincuenciales y responsable de otras brechas confirmadas en instituciones mexicanas, como el DIF Guadalajara, el Hospital Civil de Guadalajara y la Secretaría de la Honestidad del gobierno de Guanajuato.
Esta vez, Kazu afirma haber robado la información de cinco millones de personas, una cifra que supera la población total de Zacatecas, lo que sugiere que podría tratarse de todos los registros electrónicos en posesión de la dependencia estatal.
Datos de niños desde los 7 años
En la muestra publicada —contenida en 79 archivos TXT comprimidos en un archivo llamado samples.zip— se incluyen datos individuales de estudiantes, con información sensible como su grupo sanguíneo, fecha de nacimiento, dirección exacta y grado escolar.
La víctima más joven en la muestra tiene apenas 7 años recién cumplidos, y la de mayor edad ronda los 30 años, lo cual indica que la base podría abarcar tanto a estudiantes como a exalumnos, personal docente, administrativo y posiblemente otras categorías vinculadas con el sistema educativo estatal.
Además del nombre completo y CURP, los archivos contienen:
- Escuela o institución de procedencia
- Clave interna
- Contactos personales
- Nombres de tutores o padres
- Nivel escolar y otros identificadores
El atacante asegura también tener certificados escolares, reportes oficiales, documentación institucional e incluso grabaciones de llamadas públicas como parte del botín.
De la venta a la extorsión
Aunque en su publicación inicial Kazu ofrece el acceso a la base de datos por un precio que va de 500 a 2,500 dólares, horas más tarde el mismo actor publicó un nuevo mensaje en un grupo de mensajería cifrada, donde explícitamente lanza una amenaza: 20,000 dólares como “ransom” o rescate para no vender ni liberar públicamente la información.
Este tipo de estrategia doble —venta en foros y extorsión directa a las instituciones— se ha convertido en una práctica común de ciberdelincuentes con alta exposición, y ya ha sido vista antes en otras campañas activas en América Latina.
¿Quién es Kazu y cuáles son sus víctimas?
Kazu ha ganado notoriedad en los últimos dos meses por su capacidad para vulnerar sitios gubernamentales, robar bases completas de datos y comercializarlas en mercados oscuros. Entre sus filtraciones más relevantes se encuentran:
- DIF Guadalajara: 63 mil registros filtrados. Confirmado por la propia institución.
- Hospital Civil de Guadalajara: más de 33 mil documentos internos. Confirmado por autoridades.
- Secretaría de Honestidad de Guanajuato: documentos internos, encuestas firmadas y bases de datos sensibles.
- Otras víctimas internacionales incluyen el Ministerio de Educación de Argentina, instituciones educativas de Nepal, Colombia, Tailandia, Arabia Saudita y Venezuela.
Sus publicaciones suelen incluir muestras reales de la información robada, y en varios casos las instituciones afectadas han confirmado la autenticidad de los documentos expuestos.
Padres con miedo: el precedente de Marssepe
El caso de Zacatecas no es un hecho aislado. Apenas la semana pasada, otro actor malicioso identificado como Marssepe filtró información sensible de niños mexicanos, también con su tipo de sangre, tras atacar una escuela en México.
Ese ataque desató la preocupación de padres y expertos, especialmente por el potencial uso de estos datos para fraudes, robo de identidad o incluso redes criminales que podrían aprovechar la información para delitos más graves como el tráfico de órganos.
A raíz de esta ola de ataques al sistema educativo, Víctor Ruiz, fundador de la firma mexicana de ciberseguridad SILIKN, ha exigido públicamente que las autoridades refuercen sus sistemas y actúen con responsabilidad frente a estas filtraciones, investigando con seriedad y tomando medidas de ciberseguridad inmediatas.
¿Qué datos asegura tener Kazu?
Según la publicación original y los mensajes difundidos por Kazu en su canal de mensajería cifrada, la base robada incluye:
- Datos personales de estudiantes
- CURP y dirección
- Tipo de sangre
- Certificados escolares
- Reportes institucionales
- Grabaciones de llamadas públicas
- Información de tutores, maestros y personal administrativo
Nicolás Azuara: el sistema sigue expuesto
Según confirmó el especialista en ciberseguridad Nicolás Azuara, el portal oficial de la Secretaría de Educación de Zacatecas tiene una vulnerabilidad activa que permite extraer datos personales de estudiantes con solo cambiar un número en la dirección del sistema.
Es decir, no hace falta saber la CURP ni contar con una contraseña: basta con modificar un código consecutivo para acceder a la información de cualquier alumno.
Esta falla explicaría por qué el atacante Kazu pudo obtener millones de registros tan fácilmente. Azuara explicó que se trata de un sistema mal configurado que responde automáticamente a cualquier petición, sin verificar la identidad del solicitante ni aplicar medidas básicas de seguridad.
Asimismo, según la revisión de Azuara, al menos 400 mil alumnos estarían en riesgo como parte de esta filtración. Esto tras revisar alrededor de 9 millones de registros expuestos en el sistema.
De no corregirse, esta brecha seguiría dejando expuestos los datos de miles de menores de edad.