En un contexto de creciente vulnerabilidad cibernética en México, el sistema de transporte público Va y Ven, operado por la Agencia de Transporte de Yucatán (ATY), sufrió un ciberataque que expuso datos personales de alrededor de 160,000 estudiantes, muchos de ellos menores de edad.

El ataque ocurrió el 15 de septiembre de 2025, coincidiendo con las celebraciones del Grito de Independencia. De acuerdo con la investigación, un ciberdelincuente filtró una muestra de mil registros que incluían nombres completos, CURP, domicilios, escuelas y turnos de los usuarios. A cambio de no vender la base de datos en la dark web, exigió un rescate de 10,000 dólares. Aunque el atacante omitió parte de la información más sensible para evitar su uso en delitos graves, la filtración sigue siendo crítica.

La ATY admitió el incidente, pero su respuesta ha sido cuestionada. En un comunicado aseguró que “no hubo afectación a los servicios de transporte” y que se realiza una auditoría para reforzar la seguridad. Sin embargo, omitió informar de forma directa a los usuarios afectados, restando importancia al impacto en los datos personales.

La unidad de investigación de SILIKN, firma especializada en ciberseguridad, advierte que la exposición de datos representa riesgos que van desde suplantación de identidad y fraudes financieros hasta acoso cibernético o físico, especialmente para estudiantes cuyas rutas diarias quedaron al descubierto.

Entre los peligros inmediatos destacan:

– Fraude bancario y apertura de cuentas falsas usando datos como nombre, CURP y domicilio.

– Extorsión y phishing a través de correos y teléfonos expuestos.

– Daños psicológicos, como estrés por pérdida de privacidad y afectaciones en empleo o relaciones personales.

La unidad de investigación de SILIKN recuerda que estos riesgos no terminan con la filtración inicial: los datos pueden reutilizarse en ataques secundarios y campañas de malware durante meses o años.

En este sentido, la legislación mexicana obliga a las entidades afectadas a notificar de inmediato y de forma personalizada a las víctimas, detallando los datos comprometidos y las medidas de protección recomendadas. Hasta ahora, en Yucatán no se ha realizado una notificación masiva, lo que contraviene la normativa vigente.

De acuerdo con lo anterior, se recomienda a los afectados:

– Monitorear su historial crediticio de manera gratuita en el Buró de Crédito.

– Denunciar ante la Guardia Nacional y la Dirección General Científica.

– Verificar la autenticidad de mensajes y llamadas, para evitar fraudes.

– Cambiar contraseñas no es la prioridad, ya que los datos filtrados son estáticos y no credenciales de acceso. El enfoque debe centrarse en vigilar movimientos financieros y crediticios.

Este incidente no es aislado. En abril de 2025, un hackeo previo al Va y Ven comprometió información de conductores, rutas y vehículos, mostrando patrones de vulnerabilidades recurrentes. Otros casos incluyen filtraciones en la Junta de Agua Potable y Alcantarillado de Yucatán (JAPAY) y en la Secretaría de Seguridad Pública, donde se expusieron direcciones catastrales y licencias de conducir.

Los delitos cibernéticos en México caen bajo la jurisdicción federal, con penas de hasta diez años de prisión si involucran extorsión o divulgación de datos sensibles. Sin embargo, no hay evidencia pública de una investigación activa en Yucatán.

Las cifras refuerzan la urgencia: en 2024 se registraron 324 mil millones de intentos de intrusión, con un incremento de 67% en archivos maliciosos. Solo en el primer trimestre de 2025, los incidentes crecieron 78%, provocando pérdidas de 484 millones de pesos en el sector público. El aumento de ataques de ransomware, que ya es del 250%, se atribuye a presupuestos insuficientes y falta de personal especializado.

Para la unidad de investigación de SILIKN, la lección es clara: México necesita invertir en ciberseguridad y establecer protocolos transparentes que devuelvan la confianza a la ciudadanía. Mientras tanto, los estudiantes y familias afectadas en Yucatán siguen esperando notificaciones y apoyo oficial, en un entorno digital cada vez más hostil.