ESET, una destacada empresa focalizada en la investigación de ciberamenazas, se encuentra actualmente analizando en profundidad un incidente reciente que afectó a la prestigiosa Universidad de Harvard. Este evento, que se tradujo en una significativa filtración de datos, se llevó a cabo el 18 de noviembre. La filtración se produjo a raíz de un ataque de ingeniería social que comprometió tanto al departamento de desarrollo como también a varios exalumnos de la institución.
En un comunicado emitido por ESET, se explicó que el ataque adoptó la forma de un método conocido como Anhelo. Esta técnica es en esencia una variación del phishing que utiliza llamadas telefónicas como su principal vía de ataque, lo que la hace particularmente insidiosa y difícil de detectar.
El objetivo específico del ataque dentro de la universidad era el área encargada de las relaciones con antiguos alumnos y el desarrollo institucional, conocido en inglés como Alumni Affairs and Development. Los ciberdelincuentes lograron engañar a un empleado de este departamento, llevándolo a entregar de manera involuntaria sus credenciales de acceso al sistema interno, lo que les permitió entrar clandestinamente.
Los atacantes se presentan como personajes de confianza, utilizando nombres o entidades reconocibles para confundir a la víctima y persuadirla a revelar información sensible. Este enfoque, conocido como vistiendo, es particularmente complicado de manejar en un contexto telefónico, dado que resulta difícil activar filtros automáticos de seguridad durante una conversación en vivo. «La educación es fundamental en la lucha contra estas estrategias delictivas,» declaró Camilo Gutiérrez, quien dirige el Laboratorio de Investigación de ESET Latinoamérica.
Una vez que los delincuentes obtuvieron las credenciales necesarias, accedieron a los sistemas internos de la universidad y llevaron a cabo la extracción masiva de datos, todo esto sin levantar sospechas en un principio. La universidad, al ser informada de la situación, revocó el acceso del atacante casi de forma inmediata.
Información publicada en Harvard
Este acceso no autorizado resultó en la compromisión de información personal de estudiantes, exalumnos, donantes y de parte del personal de la universidad, así como de sus familiares. Aunque se confirmó que los datos más sensibles, como contraseñas, números de seguridad social e información financiera, no fueron afectados, se reveló que los datos que fueron expuestos incluyen:
- Direcciones de correo electrónico y postal.
- Números de teléfono.
- Registros de participación en eventos.
- Direcciones personales y comerciales.
- Detalles de donaciones y recaudación de fondos.
- Información adicional y biográfica relacionada con actividades específicas.
Harvard también ha instado a aquellos que pudieran verse afectados a estar en alerta ante cualquier llamada, mensaje de texto o correo electrónico que aparentemente provenga de la universidad. Este punto es especialmente importante para cualquier comunicación que solicite restablecimientos de contraseñas o información crítica como números de seguro social o información bancaria.
«Los datos robados son frecuentemente utilizados en fraudes posteriores. Posibilitan que los ciberdelincuentes ejecuten ataques de phishing u otras formas de manipulación más personalizadas», advirtió el experto. Además, agregó que «la información a menudo se comercializa en oscuros foros en línea, contribuyendo así a un creciente mercado del cibercrimen, en el que las credenciales robadas constituyen casi dos tercios de las transacciones realizadas».
Sector educativo: uno de los favoritos para el cibercrimen
De acuerdo con un informe elaborado por Microsoft, el sector educativo se posicionó como el tercer sector más atacado por los ciberdelincuentes durante el segundo trimestre de 2024. Para ESET, esta tendencia refleja una creciente vulnerabilidad entre las instituciones académicas, las cuales manejan grandes volúmenes de datos sensibles y, en muchos casos, operan con infraestructuras tecnológicas diversas y presupuestos reducidos en el ámbito de la ciberseguridad.
“Este incidente pone de manifiesto que la seguridad no depende únicamente de la tecnología; el factor humano es igualmente crítico”, enfatizó Gutiérrez. “La capacitación en temas de ingeniería social y la implementación de modelos de confianza cero son esenciales para mitigar el riesgo de ataques que se basan en la confianza y en la urgencia», concluyó el investigador de ESET Latinoamérica. “En un entorno en el que el sector educativo es uno de los más atacados, fortalecer la cultura de ciberseguridad adquiere una importancia vital”, finalizó.
