San José, 3 de diciembre (elmundo.cr) – ESETlíder en detección proactiva de amenazas, analiza el caso de la Universidad de Harvard, que sufrió una filtración de datos el
San José, 3 de diciembre (elmundo.cr) – ESETlíder en detección proactiva de amenazas, analiza el caso de la Universidad de Harvard, que sufrió una filtración de datos el 18 de noviembre tras un ataque de ingeniería social que comprometió a los exalumnos y al brazo de desarrollo de la institución. El ataque fue ruidoso Notificación de entidada través del vishing, una variante del phishing en la que se utiliza una llamada telefónica como medio de ataque.
El objetivo dentro de la universidad era el área de relaciones con los antiguos alumnos y desarrollo institucional (Alumni Affairs and Development). Los ciberdelincuentes engañaron a una persona de este departamento para que entregara voluntariamente sus credenciales que les permitían ingresar al sistema.
El vishing es una variante del phishing que se realiza a través del teléfono. En ambos casos, los atacantes se hacen pasar por una persona confiable o usan el nombre de una entidad conocida para engañar al usuario y obligarlo a revelar información confidencial. “Dado que el vishing implica una conversación telefónica, es más difícil habilitar filtros automáticos. La educación es uno de los pilares contra este tipo de estrategias criminales. Y adoptar modelos de confianza cero es tan importante para reducir las posibilidades de éxito de estos intentos como la formación en ciberseguridad.“advierte Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Una vez que el atacante obtuvo las credenciales, accedió a los sistemas internos y extrajo cantidades masivas de datos sin despertar sospechas inmediatamente. Según la información publicada por la universidad, este acceso fue revocado inmediatamente después de tener conocimiento del mismo.
Como resultado de este acceso no autorizado, datos personales de estudiantes, exalumnos, donantes y parte del personal de la institución, incluidos familiares, quedaron comprometidos y expuestos. Aunque confirman que los datos más sensibles como contraseñas, números de seguridad social o información financiera no se vieron comprometidos, han detallado que los datos filtrados en el incidente incluyen:
La universidad también instó a las personas potencialmente afectadas a tener cuidado con cualquier llamada, mensaje de texto o correo electrónico que parezca provenir de la institución, en particular solicitudes para restablecer contraseñas o información confidencial como números de Seguro Social o información bancaria.
«Los datos robados se utilizan a menudo en fraudes posteriores. Permiten a los ciberdelincuentes realizar ataques de phishing u otras formas de manipulación más personalizadas y específicas. Los datos a menudo se ofrecen a la venta en foros de la web oscura, alimentando un mercado de delitos cibernéticos en constante crecimiento, con credenciales robadas que representan casi dos tercios de las transacciones realizadas en este mercado clandestino». advierte Gutiérrez Amaya de ESET Latinoamérica.
Antes de proceder con el ataque, los ciberdelincuentes realizan una investigación sobre la organización atacada, según ESET. Puedes usar por ejemplo información pública en LinkedIn para recopilar información sobre la persona a la que quieren realizar la puerta de acceso. Crean el perfil de la persona objetivo y preparan el ataque para que el engaño sea más específico y personalizado y aumenten las posibilidades de éxito.
Según un informe de microsoftEl sector educativo fue el tercer sector más atacado por los ciberdelincuentes en el segundo trimestre de 2024. Para ESET, este posicionamiento refleja la creciente vulnerabilidad de las instituciones académicas que procesan grandes volúmenes de datos sensibles y que a menudo tienen infraestructuras tecnológicas heterogéneas y presupuestos limitados en ciberseguridad.
«Este incidente demuestra que la seguridad depende no sólo de la tecnología, sino también del factor humano. La formación en ingeniería social y la adopción de modelos de confianza cero son esenciales para reducir el riesgo de ataques que explotan la confianza y la urgencia. En un contexto donde el sector educativo es uno de los sectores más atacados, fortalecer la cultura de la ciberseguridad es más importante que nunca.» concluye el investigador de ESET Latinoamérica.
