En estos momentos, cibercriminales están utilizando un bot llamado Akula para comprar y utilizar contraseñas robadas de maestros y administrativos de Veracruz, accediendo a información personal y confidencial de miles de personas sin que nadie los detenga.
Publimetro México confirmó que varias decenas de estas contraseñas funcionan actualmente en la plataforma SEV Director, una herramienta utilizada por directores de escuelas para gestionar datos de sus planteles, sin que cuente con mecanismos básicos de protección como la autenticación en dos pasos, también conocida como 2FA.
Así funciona Akula, el bot que vende accesos robados
Akula es un bot que opera principalmente en Telegram, donde cibercriminales solicitan credenciales específicas de correos o sistemas de gobierno, empresas o escuelas, ofreciendo resultados extraídos con programas conocidos como infostealers.
Estos infostealers son programas maliciosos que se instalan de forma silenciosa en las computadoras de las víctimas, a menudo por descargar programas piratas, abrir enlaces maliciosos en correos electrónicos o instalar supuestas actualizaciones falsas.
Una vez instalados, los infostealers copian y envían automáticamente al atacante todas las contraseñas guardadas en el navegador, además de correos electrónicos, nombres de usuario y, en algunos casos, información de las páginas que visitan.
Akula se alimenta de estas contraseñas robadas para ofrecer “muestras gratuitas” de cien credenciales de un dominio específico, y posteriormente vende miles de accesos al mejor postor.
En este caso, el bot ofrece más de 17 mil contraseñas del dominio sev.gob.mx, relacionadas con la Secretaría de Educación de Veracruz. Aunque la plataforma SEV Director no ha sido hackeada directamente, son los usuarios quienes han sido víctimas de estos programas maliciosos, y la plataforma, al carecer de barreras de seguridad, se convierte en un blanco fácil para los delincuentes.
Una puerta abierta para el robo de datos en Veracruz
Publimetro México pudo confirmar que estas contraseñas permiten entrar de inmediato al SEV Director y visualizar listados con nombres de maestros, sus claves únicas de registro, datos de escuelas y listados de alumnos con sus nombres completos, grados, grupos y sus CURPs.
Esto expone a menores de edad y al personal educativo a riesgos que van desde la suplantación de identidad hasta extorsiones y fraudes, pues un cibercriminal podría utilizar una cuenta de correo institucional robada para pedir pagos a padres de familia o robar más información dentro de las plataformas educativas.
La falta de mecanismos de seguridad como el 2FA permite que cualquier persona con usuario y contraseña pueda entrar desde cualquier parte del mundo, sin restricciones ni alertas. Actualmente, cibercriminales están solicitando y comprando estas credenciales en tiempo real, confirmando que el riesgo no es una posibilidad futura, sino una amenaza activa en este momento.
Una investigación OSINT revela la magnitud del problema
De acuerdo con una investigación OSINT realizada por Publimetro México en la plataforma de inteligencia White Intel, se hallaron cientos de miles de contraseñas expuestas de usuarios vinculados al dominio sev.gob.mx.
De estas, más de 65 mil fueron robadas directamente con infostealers y más de 47 mil aparecieron en bases de datos filtradas conocidas como combolists, archivos masivos donde se almacenan usuarios y contraseñas que posteriormente se venden para ataques de fuerza bruta o accesos ilegales.
Los infostealers se aprovechan de los hábitos de los usuarios de reutilizar la misma contraseña en múltiples plataformas y de la falta de conocimiento sobre ciberseguridad en el entorno escolar. Así, los cibercriminales pueden obtener contraseñas que les permitan acceder a plataformas como SEV Director con tan solo comprar un paquete en Akula, usando estos datos de inmediato para robar información personal de menores y del personal educativo.
La amenaza está viva
Este escenario demuestra que los riesgos de un ataque informático no siempre requieren hackear un sistema protegido con grandes medidas de seguridad. Basta con la combinación de falta de precauciones personales de los usuarios, programas maliciosos que roban credenciales y plataformas sin protecciones como 2FA para que los cibercriminales entren y roben datos sensibles sin levantar alertas.
Hoy, mientras se lee esta nota, hay personas comprando credenciales de maestros y directores en Veracruz, usando Akula para acceder a la plataforma SEV Director y descargando listados de menores con nombres completos, grados y escuelas. Es un riesgo real, presente y urgente, que pone en evidencia la necesidad de que las autoridades implementen mecanismos de seguridad más estrictos para proteger a la comunidad educativa y la información de las niñas, niños y adolescentes en Veracruz.
