El 18 de noviembre, la universidad de Harvard enfrentó una filtración de datos tras un ataque de vishing, modalidad de ingeniería social que utiliza llamadas telefónicas para obtener credenciales de acceso. El área comprometida fue Relaciones con Exalumnos y Desarrollo Institucional, donde un integrante fue engañado por ciberdelincuentes que lograron acceder a los sistemas internos.
De acuerdo con la notificación oficial de la universidad, el acceso no autorizado permitió la extracción de información personal vinculada a estudiantes, exalumnos, donantes, parte del personal y familiares. Entre los datos expuestos se encuentran direcciones de correo electrónico y postales, números telefónicos, registros de asistencia a eventos, direcciones personales y laborales, detalles sobre donaciones y recaudación de fondos, así como información biográfica utilizada en actividades especiales. La entidad aclaró que contraseñas, números de seguridad social e información financiera no fueron comprometidos.
La universidad instó a quienes pudieran verse afectados a desconfiar de llamadas, mensajes de texto o correos electrónicos que aparenten provenir de la institución, en particular los que soliciten restablecimiento de contraseñas o datos bancarios. Según ESET, los datos robados suelen emplearse en fraudes posteriores, facilitando ataques de phishing personalizados y la venta de credenciales en foros clandestinos.
Desde ESET se explica que los ciberdelincuentes investigan previamente a la organización objetivo, utilizando información pública, por ejemplo en LinkedIn, para perfilar a la persona que será blanco del engaño y aumentar la probabilidad de éxito del ataque.
El sector educativo ocupó el tercer lugar entre los más atacados por ciberdelincuentes durante el segundo trimestre de 2024, de acuerdo con un informe de Microsoft. Para ESET, esta vulnerabilidad se relaciona con la gestión de grandes volúmenes de datos sensibles y la existencia de presupuestos limitados en ciberseguridad.
“Este incidente pone en evidencia que la seguridad no depende únicamente de la tecnología, sino también del factor humano. La capacitación en ingeniería social y la adopción de modelos de Zero Trust son esenciales para reducir el riesgo de ataques que explotan la confianza y la urgencia. En un contexto donde el sector educativo se encuentra entre los más atacados, reforzar la cultura de ciberseguridad es más crítico que nunca”, concluye Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
