Una compañía líder en detección proactiva de amenazas, examina el caso de la Universidad de Harvard, que el 18 de noviembre sufrió una filtración de datos luego de un ataque de ingeniería social que comprometió al área de Exalumnos y Desarrollo Institucional.
Según la institución, el ataque se realizó mediante vishing, una variante del phishing que utiliza llamadas telefónicas para engañar a las víctimas.
El objetivo fue el área de Relaciones con Exalumnos y Desarrollo Institucional (Alumni Affairs and Development). Los cibercriminales engañaron a una persona de ese departamento para que entregara voluntariamente sus credenciales de acceso, lo que permitió el ingreso no autorizado al sistema.
El vishing es una forma de phishing realizada vía telefónica. En ambos casos, los atacantes se hacen pasar por personas de confianza o por representantes de entidades reconocidas para obtener información sensible.
“En el caso del vishing, al ser un llamado telefónico, es más difícil activar filtros automáticos. La concientización es uno de los pilares contra este tipo de estrategias criminales. Y la adopción de modelos de Zero Trust es fundamental para reducir las probabilidades de éxito, así como la capacitación en ciberseguridad”, alerta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Una vez obtenidas las credenciales, el atacante accedió a sistemas internos y extrajo información masiva sin generar sospechas inmediatas. Según la universidad, el acceso fue deshabilitado tan pronto como detectaron la intrusión.
El acceso no autorizado expuso información personal de estudiantes, exalumnos, donantes y parte del personal de la institución, incluyendo a algunos familiares. Aunque los datos más sensibles —como contraseñas, números de seguridad social o información financiera— no fueron comprometidos, la universidad detalló que la información filtrada incluye:
Direcciones de correo electrónico y postales
Números telefónicos
Registros de asistencia a eventos
Direcciones personales y laborales
Detalles sobre donaciones y recaudación de fondos
Información adicional y biográfica utilizada en actividades especiales
La institución instó a las personas potencialmente afectadas a desconfiar de llamadas, mensajes de texto o correos electrónicos que aparenten provenir de Harvard, especialmente aquellos que soliciten restablecimiento de contraseñas o información sensible como números de Seguridad Social o datos bancarios.
“Los datos robados suelen ser utilizados en posteriores fraudes. Permiten a los ciberdelincuentes realizar ataques de phishing u otras formas de ingeniería social más personalizados y dirigidos. Los datos suelen ser puestos a la venta en foros de la dark web y alimentan un mercado del cibercrimen en constante crecimiento, en el cual las credenciales robadas representan casi dos tercios de las transacciones que se realizan en ese mercado clandestino”, advierte Gutiérrez Amaya, de ESET Latinoamérica.
Antes de ejecutar un ataque, explican desde ESET, los ciberdelincuentes investigan a la organización objetivo. Pueden utilizar información pública —como perfiles de LinkedIn— para obtener detalles de la persona que convertirán en su punto de acceso. Con esa información, construyen un perfil detallado que hace el engaño más dirigido y aumenta las probabilidades de éxito.
Sector educativo: uno de los predilectos para el cibercrimen
Según un informe de Microsoft, el sector educativo ocupó el tercer lugar entre los más atacados por cibercriminales durante el segundo trimestre de 2024. Para ESET, este dato evidencia la creciente vulnerabilidad de las instituciones académicas, que manejan grandes volúmenes de información sensible y, a menudo, operan con infraestructuras tecnológicas heterogéneas y presupuestos limitados para ciberseguridad.
“Este incidente pone en evidencia que la seguridad no depende únicamente de la tecnología, sino también del factor humano. La capacitación en ingeniería social y la adopción de modelos de Zero Trust son esenciales para reducir el riesgo de ataques que explotan la confianza y la urgencia. En un contexto donde el sector educativo se encuentra entre los más atacados, reforzar la cultura de ciberseguridad es más crítico que nunca”, concluye el investigador de ESET Latinoamérica.
