Bartolo García
Una reciente filtración de datos en la Universidad de Harvard ha encendido las alarmas en el sector académico ante el avance de nuevas tácticas de ingeniería social. La compañía de ciberseguridad ESET analiza el ataque que afectó al área encargada del manejo de información de exalumnos, donantes y estudiantes.
El incidente, ocurrido el pasado 18 de noviembre, fue ejecutado mediante vishing, una variante del phishing que utiliza llamadas telefónicas para engañar a trabajadores y obtener acceso a credenciales internas. En este caso, los atacantes se hicieron pasar por personal autorizado para lograr que un empleado entregara sus datos de acceso.
Con las credenciales comprometidas, los ciberdelincuentes ingresaron a los sistemas internos sin levantar sospechas iniciales y extrajeron información confidencial de miles de personas asociadas a la institución.
Entre los datos filtrados se encuentran correos electrónicos, números telefónicos, direcciones personales y laborales, así como registros de asistencia a eventos y detalles relacionados con donaciones y actividades especiales.
Aunque la universidad aseguró que no se vieron comprometidos datos altamente sensibles, como números de seguridad social, contraseñas o información bancaria, reconoció que el volumen de información expuesta podría ser utilizado para futuros fraudes dirigidos.
El acceso fue revocado tan pronto como el incidente fue detectado, pero Harvard emitió una alerta a estudiantes y egresados advirtiendo sobre posibles intentos de estafa que utilicen su identidad institucional como fachada.
ESET resaltó que estos ataques resultan cada vez más sofisticados y difíciles de detectar, ya que una llamada telefónica evita los filtros de seguridad tradicionales que sí existen en canales digitales.
Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, explicó que el vishing se aprovecha de la confianza humana y la urgencia que transmiten los delincuentes durante la llamada, logrando que las víctimas entreguen información sin cuestionar demasiado.
El especialista aseguró que datos robados suelen terminar en la dark web, donde son comercializados y utilizados para campañas más personalizadas de phishing y fraude financiero.
ESET también advirtió que los ciberdelincuentes realizan investigaciones previas sobre sus objetivos utilizando información pública en plataformas como LinkedIn, lo que les permite planificar ataques creíbles y altamente efectivos.
El sector educativo se ha convertido en uno de los más atacados a nivel mundial. Un informe de Microsoft reveló que durante el segundo trimestre de 2024 fue el tercer sector con más incidentes de ciberseguridad.
Las razones, según los expertos, incluyen infraestructuras tecnológicas desiguales, grandes volúmenes de datos personales y presupuestos limitados para reforzar la ciberdefensa.
Harvard pidió a los miembros de la comunidad mantenerse vigilantes ante cualquier comunicación sospechosa solicitando datos personales o restablecimientos de contraseñas.
Los investigadores de ESET insisten en que la prevención comienza con la educación del usuario, destacando la necesidad de adoptar modelos de seguridad Zero Trust para disminuir el impacto de ataques basados en ingeniería social.
