Harvard sufre filtración de datos tras ataque telefónico: alumnos y trabajadores se vieron afectados

La Universidad de Harvard enfrentó una filtración de datos el pasado 18 de noviembre debido a un ataque de vishing, una variante del phishing realizada por teléfono, que comprometió los sistemas del área de Relaciones con Exalumnos y Desarrollo Institucional.

Los cibercriminales engañaron a una persona de ese departamento para obtener sus credenciales de acceso e ingresar al sistema, extrayendo información personal sin generar sospechas inmediatas.​

Entre la información comprometida se encuentran direcciones de correo electrónico y postales, números telefónicos, registros de asistencia a eventos, direcciones personales y laborales, detalles sobre donaciones y recaudación de fondos, e información adicional y biográfica utilizada en actividades especiales.

La filtración afectó a estudiantes, exalumnos, donantes, parte del personal y familiares, aunque no incluyó datos sensibles como contraseñas, números de seguridad social o información financiera. La universidad retiró el acceso no autorizado al detectar el incidente y alertó a las personas afectadas sobre posibles fraudes.​

Revisa también:

• La IA podría aportar hasta un 20% adicional a PIB chileno, según nuevo estudio presentado por Google
• Alerta 2026: Malware con IA, Troyanos por WhatsApp y Fraude NFC Impulsarán las Ciberamenazas Financieras

Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, explicó que “en el caso del ”vishing, al ser un llamado telefónico, es más difícil activar filtros automáticos“

Frente a esto, “la concientización es uno de los pilares contra este tipo de estrategias criminales. Y la adopción de modelos de Zero Trust es fundamental para reducir las probabilidades de que estos intentos tengan éxito, así como la capacitación en ciberseguridad”.

Desde ESET destacan que los atacantes investigan previamente a sus objetivos, utilizando fuentes como LinkedIn para personalizar el engaño.

“Los datos robados suelen ser utilizados en posteriores fraudes. Permiten a los ciberdelincuentes realizar ataques de phishing u otras formas de ingeniería más personalizados y dirigidos”, advirtió el especialista.

“Los datos suelen ser puestos a la venta en foros de la dark web y alimentan un mercado del cibercrimen en constante crecimiento en el cual las credenciales robadas representan casi dos tercios de las transacciones que se realizan en este mercado clandestino”, agregó.​

Vulnerabilidad del sector educativo

El sector educativo ocupa el tercer lugar entre los más atacados por cibercriminales, según un informe de Microsoft del segundo trimestre de 2024. Esto, debido a los grandes volúmenes de datos sensibles e infraestructuras heterogéneas con presupuestos limitados en ciberseguridad.

“Este incidente pone en evidencia que la seguridad no depende únicamente de la tecnología, sino también del factor humano. La capacitación en ingeniería social y la adopción de modelos de Zero Trust son esenciales para reducir el riesgo de ataques que explotan la confianza y la urgencia”, enfatizó el investigador.

“En un contexto donde el sector educativo se encuentra entre los más atacados, reforzar la cultura de ciberseguridad es más crítico que nunca”, concluye Gutiérrez.

Frente a esto, Harvard recomendó desconfiar de comunicaciones sospechosas que soliciten restablecer contraseñas o datos sensibles.