Los datos confidenciales que miles de alumnos ingresaron ante la Universidad Digital del Estado de México (UDEMEX) fueron vulnerados: un hacker rompió la seguridad del sitio de la institución y obtuvo direcciones de domicilio, RFC, requisiciones de becas, comprobantes de pago y más.
La información —de al menos 4,000 estudiantes— está la venta en el sitio de hackers Breach Forums, el mismo en el que en enero de este año se publicó la base de datos de los reporteros que acuden a las conferencias del presidente Andrés Manuel López Obrador y donde se siguen comercializando los datos de cerca de 12 millones de personas registradas en el Portal del Empleo del gobierno de México.
En la publicación, el hacker —quien se hace llamar ‘Tron’— señala que la base que robó incluye nombres completos, género, fecha de nacimiento, dirección de correo electrónico, credenciales de identidad, números de teléfono, entre otros datos que incluso podrían ser usados para delitos graves como la suplantación de identidad.
Asimismo, como prueba de que efectivamente cuenta con dicha información, incluyó la captura de una credencial expedida por el Instituto Nacional Electoral (INE) de una persona que, como confirmó Publimetro México, efectivamente se encuentra matriculada ante la UDEMEX, en el Bachillerato General a Distancia por Competencias.
El hacker también adjuntó un comprobante de pago fechado el 20 de marzo de 2024, dirigido a la Secretaría de Educación del gobierno del Estado de México en relación con la UDEM. Este documento contiene información personal de una estudiante, incluyendo su número de matrícula, Clave Única de Registro de Población (CURP) y otros datos protegidos por la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
Experto en ciberseguridad
En una entrevista con Publimetro México para conocer sus intenciones detrás del robo, Tron aseguró que él es un hacker de ‘sombrero blanco’ en su país (Azerbaiyán); es decir, un experto de seguridad informática que se especializa en pruebas de penetración y en otras metodologías para detectar vulnerabilidades y mejorar la seguridad de los sistemas de comunicación e información.
No obstante, pese a ser reconocido como un ‘hacker ético’, asegura que vulneró los sistemas de la universidad, que es una institución pública descentralizada, debido a que fue despedido de su trabajo:
“Lo hice porque necesitaba dinero después de que fui despedido de mi trabajo”.
Cabe destacar que la UDEMEX, dependiente del gobierno del Estado de México, incluye en su oferta académica licenciaturas como Seguridad Pública, Informática Administrativa, Tecnologías de la Información, así como maestría en Administración Pública y de Gobierno, entre otras.
México carece de sistemas de ciberseguridad
Esta no es la primera vez que Tron accede a las entrañas digitales de las instituciones públicas del gobierno de México. Él mismo refiere que la ciberseguridad de estos sitios es bastante débil y ha hallado una fuente de ingresos con la venta de este tipo de información.
“No es la primera vez, he hackeado muchas instituciones gubernamentales mexicanas y sitios gubernamentales. En mi opinión, sí, México es débil en términos de ciberseguridad”
En la conversación con Publimetro, el hacker presumió que ha vulnerado sitios tan importantes como el de la Comisión Federal para la Protección Contra Riesgos Sanitarios (Cofepris), que tiene actividades de gran importancia para el país e incluye en su sitio datos como la aprobación de medicamentos para su venta al público y, en general, prácticamente cualquier información y registro de empresas que tramitan diversos permisos para poder operar sin ocasionar un riesgo sanitario.
Como prueba de que vulneró el sitio, Tron compartió con Publimetro México una captura de pantalla en la que muestra cómo, el pasado 20 de marzo, logró colocar una imagen distintiva en la que hace referencia a un foro hackers conocido como ‘Imhateteam’.
Publimetro