Grupo cibercriminal ataca a la Junta Local de Conciliación y Arbitraje de la CDMX

El grupo de ransomware DEVMAN se adjudicó este viernes 31 de octubre de 2025 un ataque directo contra la Junta Local de Conciliación y Arbitraje (JLCA) de la Ciudad de México, la cual depende de la Secretaría de Trabajo y Fomento al Empleo (STYFE), de acuerdo con la empresa de ciberseguridad mexicana SILIKN.

Hasta este domingo 2 de noviembre, el portal oficial de la institución (juntalocal.cdmx.gob.mx) permanece fuera de servicio, lo que confirma la seriedad del incidente, mientras los atacantes exigen un rescate de 300 mil dólares a cambio de 60 gigabytes de información sensible.

Victor Ruiz, periodista de ciberseguridad, confirmó en el blog de Devman que este grupo de ransomware se adjudicó el ataque a la Junta Local de Conciliación y Arbitraje de la Ciudad de México.

Expertos de SILIKN advirtieron que, debido a la infraestructura tecnológica centralizada del gobierno capitalino, administrada por la Agencia Digital de Innovación Pública (ADIP), existe un riesgo significativo de que el ataque se extienda a otras dependencias.

Riesgo de efecto dominó por infraestructura centralizada

La principal preocupación reside en la configuración estructural del sistema tecnológico de la capital. La unidad de investigación de SILIKN identifica tres factores clave que incrementan el riesgo de propagación:

• Data Center Unificado: La concentración de servidores de más de un centenar de dependencias en el centro de datos de Vallejo, Azcapotzalco.
• Dominio Compartido (cdmx.gob.mx): El uso de un dominio común que facilita el movimiento lateral de los atacantes a través de credenciales comprometidas o fallas en la segmentación de la red.
• Antecedentes de Intrusiones: Ataques previos a entidades como la Consejería Jurídica, la SSC y el C5, que ya habían evidenciado la falta de aislamiento efectivo entre sistemas críticos.

La JLCA podría convertirse en un “punto de entrada” para que el ransomware DEVMAN acceda a bases de datos y sistemas administrativos de otras entidades interconectadas.

La STYFE y el Instituto de Capacitación para el Trabajo (ICATCDMX) son señalados como los organismos de mayor riesgo, pues comparten infraestructura, exponiendo a la parálisis servicios críticos como inspecciones, certificaciones y políticas de empleo.

Panorama de amenaza: el grupo emergente DEVMAN

El grupo DEVMAN, un nuevo actor en el panorama del cibercrimen, fue detectado por primera vez en abril de 2025. Derivado del código de DragonForce, este grupo ha escalado rápidamente posiciones, acumulando cerca de un centenar de víctimas a nivel mundial.

Su modelo de negocio es la doble extorsión: cifran los archivos (utilizando la extensión .devman) y amenazan con publicar la información robada en su sitio de filtraciones “Devman’s Place“, al tiempo que eliminan las copias de seguridad.

¿Tienes una denuncia o información que quieras compartir? Escríbenos al WhatsApp de Uno TV: +52 55 8056 9131. Tu mensaje puede hacer la diferencia

El grupo opera bajo el esquema de Ransomware-as-a-Service (RaaS), colaborando con redes criminales establecidas y expandiendo su alcance en América Latina.

Con un depósito inicial de diez mil dólares para nuevos socios, ha multiplicado su capacidad operativa, consolidándose como una de las amenazas más agresivas del ecosistema de ransomware.

Recomendaciones urgentes para contener el ataque

Ante la gravedad de la situación, los especialistas de SILIKN han emitido recomendaciones contundentes para el Gobierno de la Ciudad de México. La medida inicial y más crítica es el aislamiento inmediato de la JLCA del entorno tecnológico de la ADIP para detener una posible propagación.

Otras acciones urgentes incluyen la realización de una auditoría forense integral en el centro de datos de Vallejo, la activación de respaldos offline y la implementación de protocolos de contingencia y comunicación segura.

Los expertos enfatizan la política de no pagar el rescate, dado que, además de ser ilegal, no garantiza la recuperación de los datos ni evita la divulgación de la información robada.

El incidente con la Junta Local de Conciliación y Arbitraje es una señal de alarma que exige una respuesta inmediata y el fortalecimiento estructural de la ciberseguridad gubernamental.

Sigue a Uno TV en Google Discover y consulta las noticias al momento