El grupo de ransomware DEVMAN se adjudicó el viernes 31 de octubre de 2025 un ataque contra la Junta Local de Conciliación y Arbitraje (JLCA) de la Ciudad de México, publicando en la dark web evidencias de acceso interno y exigiendo un rescate de 300 mil dólares a cambio de 60 gigabytes de información sensible. Desde las primeras horas del día, el portal oficial de la institución (juntalocal.cdmx.gob.mx) permanece fuera de servicio, lo que confirma la magnitud del incidente.
Hasta las tres de la tarde con cuarenta y nueve minutos – del sábado 1 de noviembre de 2025 – , hora del centro de México, no se habían reportado signos de propagación, aunque expertos advierten que la infraestructura tecnológica centralizada del Gobierno de la Ciudad de México, administrada por la Agencia Digital de Innovación Pública (ADIP), incrementa significativamente el riesgo de que el ataque se extienda a otras dependencias.
De acuerdo con la unidad de investigación de SILIKN, esta vulnerabilidad estructural, documentada en auditorías y ataques anteriores, obedece a tres factores principales: el data center unificado en Vallejo, Azcapotzalco, que aloja servidores de más de un centenar de dependencias; el uso de un dominio compartido (cdmx.gob.mx) en todos los portales institucionales, lo que facilita el movimiento lateral de los atacantes mediante credenciales comprometidas o fallas de segmentación; y los antecedentes de intrusiones a entidades como la Consejería Jurídica, la Secretaría de Seguridad Ciudadana (SSC) y el C5, que en su momento revelaron la ausencia de aislamiento efectivo entre sistemas críticos.
La JLCA, dependiente de la Secretaría de Trabajo y Fomento al Empleo (STYFE), podría convertirse en un punto de entrada para que el ransomware alcance otras entidades interconectadas. Entre las de mayor riesgo se encuentra la propia STYFE, cuyas bases de datos y sistemas administrativos comparten infraestructura con la Junta, lo que podría derivar en la parálisis de inspecciones, certificaciones y políticas de empleo. El Instituto de Capacitación para el Trabajo (ICATCDMX) también presenta alta exposición, al operar con redes y usuarios compartidos; un ataque en este frente detendría cursos, inscripciones y la emisión de certificados. La Procuraduría Social (PROSOC), encargada de la defensa laboral, podría ver suspendidos sus servicios de atención y conciliación.
En un nivel intermedio de riesgo se encuentran la Dirección General de Inspección del Trabajo, los Tribunales Laborales y las áreas laborales de las alcaldías, cuyos sistemas se enlazan a través de la ADIP. Una eventual propagación afectaría auditorías, verificaciones, juicios en línea y trámites locales.
Aun cuando se considera bajo el riesgo para dependencias como la Secretaría de Medio Ambiente (SEDEMA), la Secretaría de Desarrollo Urbano y Vivienda (SEDUVI) y la SSC, los especialistas no descartan la posibilidad de interrupciones si el ransomware logra escalar privilegios o comprometer los portales alojados bajo el dominio gubernamental.
Ante esta situación, las recomendaciones son contundentes: aislar de inmediato a la JLCA del entorno tecnológico de la ADIP, realizar una auditoría forense integral en el centro de datos de Vallejo, no pagar el rescate —pues además de ser ilegal, no garantiza la recuperación de la información ni evita la divulgación de datos—, y activar los respaldos offline junto con medidas de comunicación segura y protocolos de contingencia.
El caso pone de manifiesto la fragilidad de la infraestructura tecnológica gubernamental y la urgencia de fortalecer los mecanismos de segmentación, respaldo y respuesta ante incidentes. Lo que ocurre con la JLCA no es una simulación ni un ejercicio hipotético: se trata de un ciberataque real en curso, con el potencial de desencadenar un efecto dominó en los servicios públicos de la capital.
Un nuevo jugador en el panorama del cibercrimen
DEVMAN es un grupo emergente de ransomware detectado por primera vez en abril de 2025. Derivado del código de DragonForce, utiliza la extensión “.devman” en los archivos cifrados y adopta técnicas del extinto grupo Conti para evadir mecanismos de defensa.
Aunque sus operadores aseguran actuar de forma independiente, el grupo participa en el modelo Ransomware-as-a-Service (RaaS), colaborando con redes criminales como Qilin, Apos, DragonForce y RansomHub. En mayo de este año, DEVMAN ya había reclamado trece víctimas en los sectores gubernamental, legal y manufacturero, con una expansión reciente hacia América Latina.
Su estrategia se basa en la doble extorsión: cifran los archivos —total o parcialmente según su tamaño—, eliminan copias de seguridad y amenazan con publicar la información robada en su sitio de filtraciones “Devman’s Place”. Desde septiembre, el grupo opera su propio programa de afiliación, con un depósito inicial de diez mil dólares para nuevos socios, lo que ha multiplicado su capacidad operativa.
A pesar de su corta trayectoria, DEVMAN se ha posicionado entre los grupos más activos del año, acumulando cerca de un centenar de víctimas a nivel mundial y consolidándose como una de las amenazas más agresivas del ecosistema de ransomware.
Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad
