JULIETA DEL RÍO VENEGAS
Gracias al trabajo del periodista Ignacio Gómez Villaseñor, nos enteramos de un caso alarmante de hackeo en el sector educativo de Sonora. Se trata de la vulneración del Sistema de Información y Vinculación para la Comunidad Educativa de Sonora, conocido como Yoremia, una plataforma digital utilizada por el gobierno estatal para gestionar datos de estudiantes de educación básica, incluyendo información privada para el otorgamiento de becas.
La información sustraída corresponde a 366 niñas y niños de la primaria pública Belisario Domínguez, en Nogales, Sonora. ¿Qué se robaron? Datos altamente sensibles como el nombre completo, CURP, tipo de sangre, alergias, calificaciones, expediente médico, acta de nacimiento, fotografía escolar, informe psicopedagógico y datos de contacto de madres, padres o tutores.
La gravedad del caso es evidente. La escuela, como sujeto obligado, debió haber notificado de inmediato al Instituto de Transparencia del Estado de Sonora (aún vigente) y alertar a las familias afectadas. La Ley de Protección de Datos Personales en Posesión de Sujetos Obligados establece claramente esta obligación.
El Instituto local debe iniciar una investigación formal. Conforme a la Ley, tiene un plazo de 50 días para emitir una resolución. Además, los padres de familia pueden presentar una demanda por la vía civil por daño moral.
Lo más preocupante es que este centro educativo no contaba con las medidas mínimas de seguridad establecidas por la Ley. El sitio carecía de protocolos básicos como la autenticación de dos pasos o alertas de accesos sospechosos. A pesar de que la Secretaría de Educación de Sonora informó haber iniciado una investigación y haber alertado a la Policía Cibernética, no hay información clara sobre el acompañamiento a las familias afectadas.
Insisto, este tipo de incidentes deben ser tomados con la máxima seriedad. Hablamos de menores de edad y de datos extremadamente sensibles. Este caso enciende alertas a nivel nacional sobre la seguridad de los sistemas de información gubernamentales.
¿Qué deben hacer las autoridades ante la filtración? Primero, notificar de manera oportuna y clara a madres y padres, detallar qué datos fueron comprometidos, los riesgos que enfrentan y qué acciones se están tomando para protegerlos.
La autoridad debe asumir con responsabilidad las consecuencias de una omisión en materia de seguridad de la información. En nuestra experiencia al frente de la Plataforma Nacional de Transparencia (PNT), la prioridad siempre fue proteger los datos de las y los mexicanos. No hay precio para la seguridad de los datos personales, ahí no cabe la austeridad.
Se implementaron soluciones como Cloudflare, que protege la PNT contra ataques DDoS y garantiza el cifrado HTTPS en todas las comunicaciones. Se contaba con un contrato plurianual de seguridad perimetral.
Este contrato incluía herramientas como IDS (Sistema de Detección de Intrusos), para identificar comportamientos sospechosos en tiempo real y el IPS (Sistema de Prevención de Intrusos), para bloquear ataques automáticamente antes de que llegaran al sistema.
Además de 50 licencias de antivirus para servidores críticos y Firewall para controlar el tráfico entrante y saliente y evitar accesos no autorizados.
Todo esto protegía no solo la PNT, sino todos los sistemas del Instituto. Y con orgullo puedo decirlo, jamás fuimos hackeados.
Cualquier institución, escuela, oficina pública o empresa privada que recolecte datos personales debe invertir en ciberseguridad. De lo contrario, la desconfianza crecerá y las consecuencias serán cada vez más graves.
Como ciudadanía, también debemos ejercer nuestros derechos, cuando entregues tus datos, pregunta por el aviso de privacidad y qué medidas de seguridad existen. Porque proteger tu información, es proteger tu seguridad.
Sobre la Firma
Escritora y defensora institucional de la transparencia y los datos
contacto@julietadelrio.org.mx
BIO completa