La empresa ESET, líder en detección proactiva de amenazas, examina el incidente ocurrido en la Universidad de Harvard el 18 de noviembre, donde se produjo una filtración de datos tras un ataque de ingeniería social que afectó al área de exalumnos y desarrollo institucional. Según la notificación de la universidad, el ataque se llevó a cabo mediante vishing, una técnica que utiliza llamadas telefónicas para engañar a las víctimas.
El ataque tuvo como objetivo el departamento de Relaciones con Exalumnos y Desarrollo Institucional. Los cibercriminales lograron convencer a un empleado de este departamento para que proporcionara sus credenciales de acceso, lo que les permitió entrar en el sistema.
El vishing, que es una variante del phishing, se lleva a cabo por teléfono. En ambos casos, los atacantes se hacen pasar por personas o entidades confiables para que los usuarios entreguen información sensible. “El vishing presenta un reto adicional, ya que es difícil implementar filtros automáticos en llamadas. La concientización es clave para combatir esta modalidad de ataque, así como la adopción de modelos de Zero Trust y la capacitación en ciberseguridad,” advierte Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Después de obtener las credenciales, el atacante accedió a sistemas internos y extrajo grandes cantidades de datos sin causar sospechas inmediatas. La universidad aseguró que el acceso fue revocado tan pronto como se enteraron del incidente.
La brecha compromete la información personal de estudiantes, exestudiantes, donantes y personal, incluyendo a sus familias. Aunque señalaron que datos altamente sensibles, como contraseñas o información financiera, no fueron afectados, confirmaron que entre los datos expuestos se encuentran:
- Correos electrónicos y direcciones postales
- Números de teléfono
- Registros de asistencia a eventos
- Direcciones personales y laborales
- Detalles sobre donaciones y recaudación de fondos
- Información biográfica utilizada en actividades especiales
La universidad también aconsejó a los afectados ser cautelosos frente a llamadas, mensajes de texto o correos electrónicos que parezcan venir de la institución, sobre todo aquellos que soliciten restablecimiento de contraseñas o información sensible.
“Los datos robados pueden ser utilizados en fraudes posteriores. Los ciberdelincuentes pueden llevar a cabo ataques de phishing más personalizados y dirigidos. Estos datos suelen ser vendidos en la dark web, lo que alimenta un mercado en crecimiento donde las credenciales robadas constituyen casi dos tercios de las transacciones,” advierte Gutiérrez Amaya de ESET Latinoamérica.
Antes de llevar a cabo un ataque, los ciberdelincuentes investigan a sus objetivos. Pueden utilizar información pública en LinkedIn para reunir datos sobre la persona que intentarán atacar. Preparan el ataque de manera que el engaño sea más específico, lo cual aumenta las probabilidades de éxito.
El sector educativo, uno de los favoritos de los cibercriminales
Un informe de Microsoft revela que el sector educativo ocupó el tercer lugar entre los más atacados por ciberdelincuentes en el segundo trimestre de 2024. ESET considera que esto refleja la creciente vulnerabilidad de las instituciones académicas, que manejan grandes volúmenes de datos sensibles y suelen tener infraestructuras tecnológicas variadas y presupuestos limitados para ciberseguridad.
“Este incidente demuestra que la seguridad no depende únicamente de la tecnología, sino también del factor humano. La formación en técnicas de ingeniería social y la adopción de modelos de Zero Trust son cruciales para mitigar el riesgo de ataques que aprovechan la confianza y la urgencia. En un contexto donde el ámbito educativo se encuentra entre los más atacados, fortalecer la cultura de ciberseguridad es más crucial que nunca,” concluye el investigador de ESET Latinoamérica.
La publicación original se puede encontrar en Osorno en la Red.
Con Información de osornoenlared.cl
