Durante el año 2025 se identificó una serie de incidentes de seguridad atribuidos al grupo cibercriminal Sociedad Privada 157 (SP157), cuyo accionar se centró en vulnerar infraestructuras educativas públicas mediante explotación de credenciales débiles, ausencia de autenticación multifactor y errores de configuración en sistemas interconectados.
Cronología de incidentes
8 de abril de 2025
Inicio de las actividades maliciosas dirigidas a los Centros de Bachillerato Tecnológico Industrial y de Servicios (CBTIS y CETIS). El grupo obtuvo acceso no autorizado mediante credenciales débiles y ausencia de mecanismos 2FA, extrayendo información sensible de los sistemas institucionales dependientes de la SEP.
Mayo – junio de 2025
Detección de una filtración masiva que afectó a aproximadamente 75,000 beneficiarios del programa de becas de la Ciudad de México. Paralelamente, se expusieron más de 1 millón de registros escolares de alrededor de 1,600 instituciones a través de la plataforma Servoescolar.
Vectores probables: exposición de servidores vulnerables y explotación de contraseñas compartidas.
Julio de 2025
Comprometimiento de las bases de datos de la Secretaría de Educación de Quintana Roo (≈250,000 afectados) y de SEDUZAC Zacatecas, con filtración de información médica (incluyendo tipo sanguíneo) de más de 400,000 estudiantes.
Evidencia sugiere venta de los datos en foros de la dark web.
7–29 de octubre de 2025
Secuencia escalonada de incidentes en diversas entidades:
-
7 de octubre: Exposición de datos personales y médicos de personal y alumnos de CBTIS/CETIS en Baja California.
-
9 de octubre: Comprometimiento de información en 15 escuelas primarias de Tamaulipas.
-
10 de octubre: Ataques a 22 instituciones en Chiapas.
-
13 de octubre: Filtraciones en sistemas SIIES de Baja California y Torreón.
-
14 de octubre: Vulneración del Sistema Integral de Escuelas Normales de Tlaxcala (3,249 registros).
-
24 de octubre: Publicación de 13 GB de datos correspondientes a 19,000 estudiantes de 11 CBTIS en Querétaro, Guanajuato, Morelos, Puebla y Veracruz.
-
26 de octubre: Tres filtraciones en Campeche, con 452,000 registros y 30 GB de documentos relacionados con becas de nivel superior.
-
27–29 de octubre: Acceso administrativo no autorizado al sistema SUBES y exposición de información personal de escuelas primarias en Sonora.
NOTA IMPORTANTE:
Al cierre de esta nota (7 de Noviembre) estamos recibiendo información que tambien se está filtrando información (1.6Gygas) de los estados de Quintana Roo y Sinaloa.
Análisis técnico
Los patrones de ataque observados reflejan una campaña sostenida de explotación de debilidades estructurales en los sistemas educativos públicos.
Entre los vectores más probables se identifican:
-
Reutilización de credenciales entre plataformas educativas.
-
Falta de políticas de contraseñas seguras.
-
Ausencia de autenticación multifactor (MFA).
-
Configuraciones por defecto en servidores web y bases de datos expuestas.
El grupo SP157, liderado por un actor identificado bajo el alias “Marssepe”, mantiene presencia en foros clandestinos y ha participado en filtraciones previas contra dependencias gubernamentales y sistemas municipales. Sus técnicas incluyen acceso con credenciales comprometidas, extracción automatizada de datos (data scraping) y publicación de bases de datos completas en entornos de intercambio anónimo.
Conclusión
El análisis evidencia una tendencia ascendente de exposición de datos educativos en México durante 2025.
El patrón de ataque confirma una campaña coordinada, orientada a explotar la interconectividad de las plataformas educativas federales y estatales, sin que hasta el momento se haya reconocido oficialmente la magnitud del impacto.
La falta de controles de seguridad básicos —en particular autenticación multifactor y monitoreo continuo de accesos— continúa siendo un factor crítico de vulnerabilidad en el ecosistema educativo digital mexicano.