ESET analiza el caso de la universidad de Harvard, que el 18 de noviembre sufrió una filtración de datos luego de un ataque de ingeniería social que comprometió al área de exalumnos y desarrollo de la institución. El ataque fue, según la notificación de la entidad, mediante vishing, es decir, una variación del phishing que utiliza como vía de ataque una llamada telefónica.
El objetivo dentro de la universidad fue el área de Relaciones con Exalumnos y Desarrollo Institucional (Alumni Affairs and Development). Los cibercriminales engañaron a una persona de ese departamento para lograr que entregara voluntariamente sus credenciales de acceso, con las que pudieron ingresar al sistema.
El vishing es una variación del phishing que se realiza telefónicamente. En ambos casos, los atacantes se hacen pasar por alguien de confianza o usurpan el nombre de alguna entidad conocida para engañar al usuario y lograr que entregue información sensible. “En el caso del vishing, al ser un llamado telefónico, es más difícil activar filtros automáticos. La concientización es uno de los pilares contra este tipo de estrategias criminales. Y la adopción de modelos de Zero Trust es fundamental para reducir las probabilidades de que estos intentos tengan éxito, así como la capacitación en ciberseguridad.”, alerta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Una vez obtenidas las credenciales, el atacante accedió a sistemas internos y extrajo datos masivos sin levantar sospechas inmediatas. Según la información que publicó la universidad, este acceso se retiró en cuanto tomaron conocimiento.
Este acceso no autorizado comprometió y dejó expuesta información personal de parte del estudiantado, exestudiantes, donantes y parte del personal de la institución, aunque también se incluye a familiares. Si bien afirman que los datos más sensibles, como contraseñas, números de seguridad social o información financiera, no fueron comprometidos, sí han detallado que entre los datos filtrados en el incidente se encuentran:
- Direcciones de correo electrónico y postales
- Números telefónicos
- Registros de asistencia a eventos
- Direcciones personales y laborales
- Detalles sobre donaciones y recaudación de fondos
- Información adicional y biográfica que se utilizaba en actividades especiales
La universidad también instó a las personas potencialmente afectadas a desconfiar de llamadas, mensajes de texto o correos electrónicos que aparenten provenir de la institución, especialmente aquellos que soliciten restablecimiento de contraseñas o información sensible como números de Seguridad Social o datos bancarios.
“Los datos robados suelen ser utilizados en posteriores fraudes. Permiten a los ciberdelincuentes realizar ataques de phishing u otras formas de ingeniería más personalizados y dirigidos. Los datos suelen ser puestos a la venta en foros de la dark web y alimentan un mercado del cibercrimen en constante crecimiento en el cual las credenciales robadas representan casi dos tercios de las transacciones que se realizan en este mercado clandestino.”, advierte Gutiérrez Amaya de ESET Latinoamérica.
Antes de avanzar con el ataque, explican de ESET, los ciberdelincuentes realizan la investigación de la organización apuntada. Pueden, por ejemplo, utilizar información pública en LinkedIn para recabar información de la persona que intentarán convertir en la puerta de acceso. Arman el perfil de la persona objetivo, preparan el ataque para que el engaño sea más dirigido y a medida, aumentando las chances de tener éxito.
Sector educativo: uno de los predilectos para el cibercrimen
Según un informe de Microsoft, el sector educativo ocupó el tercer lugar entre los más atacados por cibercriminales durante el segundo trimestre de 2024. Este posicionamiento, para ESET, refleja la creciente vulnerabilidad de las instituciones académicas, que manejan grandes volúmenes de datos sensibles y suelen contar con infraestructuras tecnológicas heterogéneas y presupuestos limitados para ciberseguridad.
“Este incidente pone en evidencia que la seguridad no depende únicamente de la tecnología, sino también del factor humano. La capacitación en ingeniería social y la adopción de modelos de Zero Trust son esenciales para reducir el riesgo de ataques que explotan la confianza y la urgencia. En un contexto donde el sector educativo se encuentra entre los más atacados, reforzar la cultura de ciberseguridad es más crítico que nunca.”, concluye el investigador de ESET Latinoamérica.
