Miles de alumnos de la Escuela Pública de Código podrían estar expuestos a ciberataques y redes criminales

La Escuela Pública de Código (EPC), cuya plataforma digital opera a través del portal epc.gob.mx, fue concebida como una iniciativa de acceso abierto para democratizar la formación tecnológica en México. El proyecto busca capacitar gratuitamente a decenas de miles de personas en programación, desarrollo web y habilidades digitales de alta demanda, con presencia en los 32 estados de la República y alcance en más de mil municipios. Sin embargo, detrás de este esfuerzo de inclusión digital emerge un problema que rara vez se discute en público: la exposición de los propios estudiantes a riesgos de seguridad informática y a vulnerabilidades estructurales que podrían comprometer su información personal y su seguridad digital.

El primer nivel de riesgo es estrictamente tecnológico. El análisis del sitio revela vulnerabilidades que, en ciertos escenarios, podrían permitir la ejecución de ataques contra los usuarios de la plataforma. Una de ellas corresponde a un Cross-Site Scripting almacenado (CVE-2025-1291), una falla que abre la puerta a la inyección de código malicioso dentro de páginas del portal. Cuando este tipo de ataque se materializa, el código puede ejecutarse automáticamente en el navegador de cualquier estudiante que visite la página comprometida, sin que la víctima tenga que realizar ninguna acción. En términos prácticos, esto podría traducirse en el robo de cookies de sesión, credenciales de acceso o información personal, lo que permitiría a un atacante secuestrar cuentas o recopilar datos sensibles de los usuarios.

El riesgo se amplifica cuando esta vulnerabilidad se combina con otros componentes del sistema. La exposición pública del endpoint admin-ajax.php, utilizado por muchos sitios basados en WordPress, puede facilitar ataques automatizados que aprovechan fallas en plugins o funciones AJAX del sitio. Bajo determinadas condiciones, un atacante podría utilizar esta vía para ejecutar campañas de phishing dirigidas a los propios estudiantes, redirigir silenciosamente a los usuarios hacia sitios fraudulentos o incluso forzar descargas de software malicioso en sus dispositivos. Este tipo de vectores resulta particularmente preocupante en un portal educativo que concentra miles de usuarios en formación, muchos de ellos con experiencia limitada en ciberseguridad.

Otro escenario aún más crítico se presenta si el servidor llegara a ser comprometido mediante la instalación de una webshell, es decir, un programa que permite a un intruso controlar remotamente el sistema. En ese caso, el atacante podría acceder directamente a la base de datos de la plataforma y extraer información personal de los estudiantes registrados. Entre los datos potencialmente expuestos se encuentran direcciones de correo electrónico, nombres completos, credenciales de acceso e incluso el historial de navegación dentro del portal y el registro de certificaciones obtenidas. Más allá de la intrusión inicial, esta información podría utilizarse posteriormente para ataques de ingeniería social, campañas de fraude o suplantación de identidad en otros servicios digitales.

El problema adquiere una dimensión mayor por el hecho de tratarse de un sitio gubernamental bajo el dominio .gob.mx. La confianza que los ciudadanos depositan en las plataformas oficiales del Estado genera un efecto paradójico: reduce la percepción de riesgo y aumenta la probabilidad de que los usuarios interactúen con contenido malicioso si este se origina dentro del propio portal. Un ataque de phishing alojado en una página institucional, por ejemplo, podría resultar mucho más creíble que uno difundido desde dominios desconocidos, multiplicando así su impacto potencial.

La magnitud del problema se vuelve más evidente al considerar la escala del programa. De acuerdo con datos oficiales, la Escuela Pública de Código ha registrado más de 34 mil personas inscritas, de las cuales más de 18 mil continúan estudiando activamente y más de 10 mil se encuentran en ruta de certificación. El programa opera en 1,286 municipios y mantiene colaboración con más de 1,600 dependencias, lo que significa que cualquier vulnerabilidad explotada en la plataforma podría afectar simultáneamente a miles de usuarios distribuidos en todo el país. En términos de superficie de ataque, se trata de una comunidad digital amplia y geográficamente dispersa, lo que dificulta la detección temprana de incidentes.

A estos riesgos tecnológicos se suma un contexto social igualmente complejo. Diversas organizaciones han advertido sobre el crecimiento del reclutamiento digital de jóvenes por parte de grupos delictivos, fenómeno que se desarrolla a través de redes sociales, videojuegos en línea y otras plataformas digitales. En México se estima que hasta 250 mil menores de edad podrían encontrarse en riesgo de ser captados mediante estas estrategias. Dado que la EPC concentra a jóvenes interesados en habilidades tecnológicas —muchos de ellos provenientes de contextos socioeconómicos vulnerables—, cualquier filtración de datos o acceso indebido a perfiles de estudiantes podría facilitar campañas de contacto, extorsión o manipulación digital.

La exposición también debe analizarse desde la perspectiva territorial. El programa tiene presencia en todo el país, incluidos estados con altos índices de violencia, extorsión y disputas territoriales entre grupos criminales. Esto significa que parte de la comunidad estudiantil vive en entornos donde la presión de organizaciones delictivas es significativa. En ese contexto, el acceso a información personal o patrones de actividad digital de los estudiantes podría convertirse en una herramienta adicional para actividades ilícitas como extorsión, fraude o suplantación de identidad.

El marco legal mexicano establece obligaciones claras para las instituciones públicas que administran información personal. La Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados exige que las dependencias implementen medidas de seguridad adecuadas para resguardar la información de los ciudadanos. Además, incidentes de ciberseguridad en infraestructuras gubernamentales deben ser reportados a instancias como el CERT-MX y a los órganos internos de control correspondientes. En el caso de plataformas educativas que manejan información de jóvenes —e incluso de menores de edad—, el estándar de protección debería ser aún más riguroso.

El problema de fondo no es únicamente técnico, sino institucional. La Escuela Pública de Código representa una política pública orientada a cerrar la brecha digital y generar oportunidades laborales en el sector tecnológico. No obstante, si la infraestructura digital que sostiene el programa no cuenta con medidas de seguridad robustas y actualizadas, la iniciativa corre el riesgo de convertirse en un punto vulnerable dentro del ecosistema digital gubernamental. La paradoja es evidente: un proyecto diseñado para formar talento tecnológico podría exponer a sus propios estudiantes a amenazas que precisamente forman parte del campo de la ciberseguridad.

En última instancia, la discusión sobre la seguridad de plataformas como epc.gob.mx debería trascender el ámbito técnico y convertirse en un tema de política pública. La protección de datos, la integridad de los sistemas y la confianza de los usuarios son elementos esenciales para el éxito de cualquier programa digital del Estado. En un país donde la alfabetización tecnológica avanza con rapidez pero la cultura de ciberseguridad aún es incipiente, garantizar la seguridad de estos entornos no es solo una cuestión de infraestructura, sino también de responsabilidad institucional hacia los ciudadanos que confían en ellos.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | Coordinador de la Subcomisión de Ciberseguridad de COPARMEX Querétaro | Líder del Capítulo Querétaro de OWASP | NIST Cybersecurity Framework 2.0 Certified Expert (CSFE) | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst.

X:https://x.com/victor_ruiz

Instagram:https://www.instagram.com/silikn

YouTube:https://www.youtube.com/@silikn7599

** Las expresiones emitidas en esta columna son responsabilidad de quien las escribe y no necesariamente coinciden con la línea editorial de Infobae México, respetando la libertad de expresión de expertos.