Un ciberdelincuente identificado como “Mago Speak” (también escrito MagoSpeak o MAGO SPEAK), integrante de la ciberagrupación SpeakTeam, ha sido señalado como el responsable de la vulneración de bases de datos de al menos dos instituciones educativas públicas en Puebla: la Benemérita Universidad Autónoma de Puebla (BUAP) y el Benemérito Instituto Normal del Estado General Juan Crisóstomo Bonilla (BINE). Los datos robados, que incluyen información personal y académica de miles de estudiantes y docentes, fueron puestos a la venta en canales de Telegram como prueba de la intrusión y con fines de lucro.
Según reportes de ciberseguridad y medios locales, “Mago Speak” publicó muestras de la filtración que contienen registros detallados de 2 mil 404 alumnos de la BUAP y mil 740 integrantes de la comunidad académica del BINE. La información se distribuye en archivos CSV y se ofrece el acceso completo a las bases de datos mediante contacto directo en plataformas de mensajería. Ninguna de las instituciones poblanas ha emitido un comunicado oficial al respecto hasta el momento.
¿Quiénes son “Mago Speak” y SpeakTeam?
SpeakTeam es una agrupación de ciberdelincuentes activa desde febrero de 2026 que se ha especializado en el robo y filtración de bases de datos de instituciones educativas mexicanas. “Mago Speak” opera como uno de sus principales actores y firma sus publicaciones en canales de Telegram verificados asociados al grupo. Los expertos en ciberseguridad, como tpx Security y VECERT Analyzer, lo describen como un threat actor que combina ataques dirigidos con difusión pública de muestras para demostrar el acceso y generar interés comercial en los datos robados.
Su modus operandi es sistemático: explotan vulnerabilidades en sistemas de gestión educativa (posiblemente bases de datos desprotegidas o con parches pendientes), extraen grandes volúmenes de información y la publican en foros clandestinos o canales de Telegram. Publican muestras parciales como “prueba de concepto” y luego ofrecen la base completa a cambio de pago, un modelo típico del cibercrimen orientado al lucro.
Instituciones hackeadas: de Puebla al resto del país
El ataque no se limita a Puebla. SpeakTeam y “Mago Speak” han reivindicado la vulneración de al menos 26 instituciones educativas en varios estados, principalmente escuelas normales y universidades públicas. Entre las afectadas se encuentran:
- En Puebla: BUAP y BINE
- A nivel nacional: Benemérita y Centenaria Escuela Normal de Jalisco, Benemérita Escuela Normal del Estado de Querétaro, Centenaria Escuela Normal del Estado “Ignacio Manuel Altamirano”, Benemérita y Centenaria Escuela Normal Oficial de Guanajuato, Benemérita Escuela Normal del Estado de San Luis Potosí, Benemérita Escuela Normal del Estado de Durango, Universidad de Ciencias y Artes de Chiapas (UNICACH), Universidad Autónoma de Chiapas (UNACH), Universidad Autónoma del Estado de Hidalgo (UAEH), Universidad Tecnológica de la Selva y el Bachillerato del Estado de Hidalgo, entre otras
Además, el caso más reciente involucra al banco BBVA México, donde “Mago Speak” fue señalado como el actor de la amenaza en una filtración de datos de titulares de tarjetas que compromete información personal y financiera de alrededor de 200 mil clientes.
Tipo de información vulnerada y alcance de las filtraciones
Las bases de datos expuestas contienen datos altamente sensibles (PII, por sus siglas en inglés):
- Datos de identidad: nombre completo, CURP, fecha y entidad de nacimiento, género y edad
- Contacto: números de celular, teléfono fijo y correos electrónicos (incluidos personales como Gmail)
- Información académica y socioeconómica: promedio escolar, ingresos familiares, pertenencia a comunidades indígenas, apoyos económicos recibidos, condiciones de discapacidad y otros detalles de expedientes estudiantiles
- En el caso de BBVA: datos de tarjetas de crédito y débito, incluyendo información financiera personal.
El alcance es masivo: solo en Puebla se exponen miles de registros, mientras que en el resto del país las cifras por institución van de varios miles a decenas de miles. Los datos se venden en Telegram y foros de la dark web, lo que multiplica el riesgo de que terminen en manos de estafadores, extorsionadores o brokers de información.
¿Por qué ponen los datos a la venta en Telegram?
El objetivo principal es económico. Al publicar muestras gratuitas y ofrecer el acceso completo mediante pago, SpeakTeam monetiza el ciberataque. Este modelo es común en el cibercrimen: los datos personales y académicos son valiosos en el mercado negro para cometer fraudes, suplantación de identidad, phishing dirigido o incluso extorsión a estudiantes y sus familias. La elección de Telegram facilita la difusión rápida y anónima entre compradores potenciales.
Implicaciones para estudiantes y usuarios afectados
Para los miles de estudiantes, docentes y usuarios de BBVA expuestos, las consecuencias son graves y de largo plazo:
- Riesgo de robo de identidad y fraudes: con CURP, datos de contacto y académicos, delincuentes pueden abrir cuentas bancarias falsas, solicitar créditos o tramitar documentos apócrifos
- Extorsión y acoso: información sensible como promedios, apoyos económicos o condiciones de discapacidad podría usarse para chantajes
- Phishing masivo: los correos y teléfonos filtrados facilitan campañas de engaño personalizadas
- Impacto financiero: en el caso de BBVA, los datos de tarjetas aumentan el peligro de transacciones no autorizadas y fraudes bancarios
- Daño a la privacidad: los afectados podrían enfrentar discriminación laboral, problemas crediticios o exposición pública de datos privados sin su consentimiento.
Expertos en ciberseguridad han alertado que estas filtraciones forman parte de una campaña más amplia contra el sector educativo mexicano, que suele operar con sistemas legacy y presupuestos limitados en seguridad informática.
Hasta ahora, las autoridades y las instituciones no han confirmado el alcance exacto ni han informado medidas de contención o notificación masiva a los afectados.
Las filtraciones de “Mago Speak” y SpeakTeam ponen de manifiesto las vulnerabilidades crónicas en la ciberseguridad de las universidades y normales públicas de México. Mientras los datos circulan en Telegram, estudiantes y usuarios enfrentan un riesgo real e inmediato que exige una respuesta urgente de las instituciones y las autoridades federales.
