Una de las plataformas de movilidad más importantes de Yucatán, el sistema de transporte público “Va y Ven”, enfrenta una grave crisis de ciberseguridad tras la publicación no autorizada de tres bases de datos completas que contienen información sensible de más de 5,000 personas y entidades.
La filtración fue publicada en foros clandestinos por un actor identificado como marssepe, quien además adjudica la acción a una supuesta colaboración con otro usuario denominado Cartel Caborca y un hacker llamado APAJ.
El paquete filtrado incluye tres archivos denominados Conductores.csv, Empresas.csv y Vehículos.csv, todos con datos estructurados y actualizados hasta abril de 2025. En total, se expusieron 2,675 registros de conductores, 126 de empresas concesionarias y 1,845 unidades vehiculares del sistema. La publicación se encuentra alojada en plataformas de descarga y ha sido distribuida entre comunidades delictivas.
¿Hackeo o filtración interna? El gobierno lo niega todo
La Agencia de Transporte de Yucatán (ATY) emitió un comunicado oficial en el que niega categóricamente que su sistema haya sido hackeado. Según el documento, los sistemas “no presentan vulnerabilidades ni han sido víctimas de ciberataques” y funcionan con protocolos de seguridad robustos; sin embargo, la ATY reconoce que la información publicada en redes sí corresponde a datos internos, aunque intenta minimizar el hecho calificándola como “fuera de contexto”.
El comunicado también informa que se ha iniciado una investigación para determinar el origen de la filtración y aplicar medidas legales contra los responsables. A pesar de esto, expertos en ciberseguridad coinciden en que todo apunta a una exfiltración interna: los archivos expuestos contienen estructuras limpias, campos de base de datos completos y fechas recientes de actualización, lo cual sugiere que alguien con acceso legítimo extrajo y compartió los datos.
Qué datos se filtraron: una radiografía de lo comprometido
1. Conductores (2,675 personas):
- Nombre completo
- CURP
- Número de licencia
- Dirección exacta
- Teléfono personal
- Número de empleado
- Fecha de vigencia de la licencia
- Coordenadas geográficas en algunos casos
2. Empresas (126 registros):
- Nombre comercial y razón social
- Representante legal
- RFC
- Correo electrónico
- Número telefónico
- Estado legal y tipo de empresa
3. Vehículos (1,845 unidades):
- Marca, línea y modelo
- Número de chasis (VIN)
- Capacidad de pasajeros
- Estado físico (“óptimo” en muchos casos)
- Aire acondicionado (sí/no)
- Fecha de alta y placas (algunas aún sin placa)
Riesgos graves para personas y empresas
La filtración pone en riesgo a miles de conductores que ahora podrían ser víctimas de suplantación de identidad, extorsión o amenazas, ya que se conocen sus nombres, teléfonos, direcciones y CURP. Además, los datos técnicos de los vehículos y empresas podrían ser utilizados para cometer fraudes fiscales, robos, fraudes administrativos o incluso para atacar rutas logísticas de transporte.
Asimismo esta filtración también podría tener consecuencias legales para el gobierno estatal, dado que la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados obliga a notificar a las personas afectadas y tomar medidas preventivas ante una vulneración de esta magnitud.
El sistema “Va y Ven”: movilidad moderna en riesgo
“Va y Ven” es el sistema de transporte moderno implementado por el gobierno de Yucatán en 2021, con una flota de más de 900 unidades que recorren Mérida, Umán, Kanasín y otras localidades. El sistema integra tarjetas inteligentes, WiFi, cámaras y dispositivos de geolocalización. La filtración, al incluir identificadores de vehículos y empresas, compromete la integridad operativa y la confianza pública en este esquema de movilidad.
Además, se incluyen datos de unidades del Ie-Tram Yucatán, el primer sistema BRT 100% eléctrico en México, lo que agrava la situación al tratarse de un proyecto emblemático del estado en términos de sustentabilidad y tecnología.
