Según reportes de ciberseguridad y medios locales, “Mago Speak” publicó muestras de la filtración que contienen registros detallados de 2 mil 404 alumnos de la BUAP y mil 740 integrantes de la comunidad académica del BINE. La información se distribuye en archivos CSV y se ofrece el acceso completo a las bases de datos mediante contacto directo en plataformas de mensajería. Ninguna de las instituciones poblanas ha emitido un comunicado oficial al respecto hasta el momento.

¿Quiénes son “Mago Speak” y SpeakTeam?

SpeakTeam es una agrupación de ciberdelincuentes activa desde febrero de 2026 que se ha especializado en el robo y filtración de bases de datos de instituciones educativas mexicanas. “Mago Speak” opera como uno de sus principales actores y firma sus publicaciones en canales de Telegram verificados asociados al grupo. Los expertos en ciberseguridad, como tpx Security y VECERT Analyzer, lo describen como un threat actor que combina ataques dirigidos con difusión pública de muestras para demostrar el acceso y generar interés comercial en los datos robados.

Su modus operandi es sistemático: explotan vulnerabilidades en sistemas de gestión educativa (posiblemente bases de datos desprotegidas o con parches pendientes), extraen grandes volúmenes de información y la publican en foros clandestinos o canales de Telegram. Publican muestras parciales como “prueba de concepto” y luego ofrecen la base completa a cambio de pago, un modelo típico del cibercrimen orientado al lucro.

Instituciones hackeadas: de Puebla al resto del país

El ataque no se limita a Puebla. SpeakTeam y “Mago Speak” han reivindicado la vulneración de al menos 26 instituciones educativas en varios estados, principalmente escuelas normales y universidades públicas. Entre las afectadas se encuentran:

• En Puebla: BUAP y BINE
• A nivel nacional: Benemérita y Centenaria Escuela Normal de Jalisco, Benemérita Escuela Normal del Estado de Querétaro, Centenaria Escuela Normal del Estado “Ignacio Manuel Altamirano”, Benemérita y Centenaria Escuela Normal Oficial de Guanajuato, Benemérita Escuela Normal del Estado de San Luis Potosí, Benemérita Escuela Normal del Estado de Durango, Universidad de Ciencias y Artes de Chiapas (UNICACH), Universidad Autónoma de Chiapas (UNACH), Universidad Autónoma del Estado de Hidalgo (UAEH), Universidad Tecnológica de la Selva y el Bachillerato del Estado de Hidalgo, entre otras

Además, el caso más reciente involucra al banco BBVA México, donde “Mago Speak” fue señalado como el actor de la amenaza en una filtración de datos de titulares de tarjetas que compromete información personal y financiera de alrededor de 200 mil clientes.

Tipo de información vulnerada y alcance de las filtraciones

Las bases de datos expuestas contienen datos altamente sensibles (PII, por sus siglas en inglés):

• Datos de identidad: nombre completo, CURP, fecha y entidad de nacimiento, género y edad
• Contacto: números de celular, teléfono fijo y correos electrónicos (incluidos personales como Gmail)
• Información académica y socioeconómica: promedio escolar, ingresos familiares, pertenencia a comunidades indígenas, apoyos económicos recibidos, condiciones de discapacidad y otros detalles de expedientes estudiantiles
• En el caso de BBVA: datos de tarjetas de crédito y débito, incluyendo información financiera personal.

El alcance es masivo: solo en Puebla se exponen miles de registros, mientras que en el resto del país las cifras por institución van de varios miles a decenas de miles. Los datos se venden en Telegram y foros de la dark web, lo que multiplica el riesgo de que terminen en manos de estafadores, extorsionadores o brokers de información.

¿Por qué ponen los datos a la venta en Telegram?

El objetivo principal es económico. Al publicar muestras gratuitas y ofrecer el acceso completo mediante pago, SpeakTeam monetiza el ciberataque. Este modelo es común en el cibercrimen: los datos personales y académicos son valiosos en el mercado negro para cometer fraudes, suplantación de identidad, phishing dirigido o incluso extorsión a estudiantes y sus familias. La elección de Telegram facilita la difusión rápida y anónima entre compradores potenciales.

Implicaciones para estudiantes y usuarios afectados

Para los miles de estudiantes, docentes y usuarios de BBVA expuestos, las consecuencias son graves y de largo plazo:

• Riesgo de robo de identidad y fraudes: con CURP, datos de contacto y académicos, delincuentes pueden abrir cuentas bancarias falsas, solicitar créditos o tramitar documentos apócrifos
• Extorsión y acoso: información sensible como promedios, apoyos económicos o condiciones de discapacidad podría usarse para chantajes
• Phishing masivo: los correos y teléfonos filtrados facilitan campañas de engaño personalizadas
• Impacto financiero: en el caso de BBVA, los datos de tarjetas aumentan el peligro de transacciones no autorizadas y fraudes bancarios
• Daño a la privacidad: los afectados podrían enfrentar discriminación laboral, problemas crediticios o exposición pública de datos privados sin su consentimiento.

Expertos en ciberseguridad han alertado que estas filtraciones forman parte de una campaña más amplia contra el sector educativo mexicano, que suele operar con sistemas legacy y presupuestos limitados en seguridad informática.

Hasta ahora, las autoridades y las instituciones no han confirmado el alcance exacto ni han informado medidas de contención o notificación masiva a los afectados.

Las filtraciones de “Mago Speak” y SpeakTeam ponen de manifiesto las vulnerabilidades crónicas en la ciberseguridad de las universidades y normales públicas de México. Mientras los datos circulan en Telegram, estudiantes y usuarios enfrentan un riesgo real e inmediato que exige una respuesta urgente de las instituciones y las autoridades federales.

El cargo Mago Speak y SpeakTeam venden en Telegram datos robados de la BUAP y BBVA apareció primero en Reto Diario.

El aeropuerto de Bruselas reportó que casi una quinta parte de sus vuelos programados fueron cancelados el domingo, con 45 salidas suspendidas —incluidos seis desvíos— de un total de 257. Además, los retrasos oscilaron entre 30 y 90 minutos, lo que provocó largas filas en los mostradores de facturación.

En Heathrow, Londres, la mayoría de los vuelos continuaron operando gracias a la colaboración con aerolíneas, aunque también se registraron filas y procesos manuales de registro. Por su parte, el aeropuerto de Dublín informó que esperaba normalizar sus operaciones durante el mismo día.

Las autoridades aeroportuarias recomendaron a los pasajeros llegar con antelación y consultar con sus aerolíneas antes de viajar, ya que los sistemas electrónicos estuvieron fuera de servicio y fue necesario recurrir a métodos manuales.

La empresa Collins Aerospace, proveedora del software afectado conocido como MUSE, confirmó que la falla se limitó al check-in electrónico y al despacho de equipaje en varios aeropuertos. Aunque no dio detalles sobre el origen del ataque, aseguró que trabaja para restablecer el servicio “lo antes posible”.

Collins Aerospace, filial del grupo estadounidense de defensa RTX (antes Raytheon), ofrece servicios de gestión de datos y procesamiento de pasajeros en más de 170 aeropuertos en todo el mundo.

El organismo Eurocontrol informó que no hubo restricciones en el control aéreo europeo a pesar del incidente, lo que evitó mayores afectaciones en la red de vuelos.

El cargo Aeropuertos europeos reanudan operaciones tras ciberataque que paralizó vuelos apareció primero en Reto Diario.

Según un portavoz del aeropuerto, se ha solicitado a las aerolíneas cancelar la mitad de los vuelos de salida por la perturbación en curso. Se recomendó a los pasajeros confirmar el estatus de sus vuelos con las aerolíneas antes de acudir al aeropuerto.

Un portavoz de la Comisión Europea declaró el pasado sábado 20 de septiembre, que la institución está monitoreando de cerca el incidente. Si bien los pasajeros están enfrentando estas alteraciones, la seguridad en los aviones y el tráfico aéreo no se han visto afectados, añadió.

La Comisión Europea señaló que está trabajando con las agencias correspondientes para restaurar las operaciones y que la información conocida hasta ahora no apunta a un ciberataque masivo o grave.

El cargo Retrasos y cancelaciones en aeropuerto de Bruselas se extienden hasta hoy domingo apareció primero en Reto Diario.