La Universidad de Harvard confirmo que sufrio un acceso no autorizado a una base de datos que contenia informacion de alumnos, donantes, estudiantes y parte del profesorado.
La institucion explico que la filtracion incluyo datos personales de contacto, registros sobre donaciones y otros datos relacionados con actividades de recaudacion de fondos y gestion de exalumnos.
La intrusion se detecto el martes 18 de noviembre y, segun la universidad, fue el resultado de una tecnica de phishing telefonico. El equipo de tecnologia respondio de forma inmediata para cortar el acceso del atacante y prevenir nuevas intrusiones, afirmo Tim Bailey, director de comunicaciones de Harvard University Information Technology, en un comunicado por correo electronico.
Bailey anadio que la universidad esta colaborando con expertos externos en ciberseguridad y con las autoridades policiales mientras continua la investigacion; hasta ahora no se ha identificado a los responsables.
Este incidente se suma a una serie de ataques que han afectado en los ultimos meses a universidades de la Ivy League. En octubre, Harvard ya habia abierto una investigacion por posibles filtraciones vinculadas a una campana de hacking dirigida a clientes de Oracle Corp.
La universidad senala que este tipo de amenazas son persistentes. Harvard suele recaudar mas de USD 1.000 millones al ano y se encuentra entre las instituciones educativas con mayor capacidad de obtencion de fondos en el pais, lo que la convierte en un objetivo atractivo para los ciberdelincuentes.
Otras universidades de prestigio tambien han reportado incidentes recientes. El 15 de noviembre, Princeton detecto que una base de datos con informacion de exalumnos, donantes, estudiantes y otros miembros de su comunidad habia sido comprometida.
El 31 de octubre, la University of Pennsylvania informo que ciertos sistemas relacionados con actividades de desarrollo institucional y la relacion con exalumnos se vieron afectados.
En junio, Columbia inicio una investigacion tras detectar una violacion que expuso informacion personal de aproximadamente 870.000 personas, entre ellas estudiantes y aspirantes, segun notifico la institucion a autoridades estatales.
Estos hechos reflejan que las universidades estadounidenses, y en particular las de la Ivy League, son objetivos frecuentes de los atacantes, lo que evidencia la vulnerabilidad de las instituciones educativas frente a estrategias de ingenieria social y ataques sofisticados.
Como funciona el phishing telefonico?
El phishing telefonico, o vishing (combinacion de “voice” y “phishing”), es un tipo de fraude de ingenieria social en el que los delincuentes emplean llamadas telefonicas o mensajes de voz falsos para enganar a las personas y obtener informacion personal, confidencial o financiera.
A diferencia del phishing por correo electronico o SMS, el vishing se basa en la interaccion verbal y explota la confianza que muchas personas aun depositan en las comunicaciones telefonicas.
El metodo tipico que usan los cibercriminales es el siguiente:
Suplantacion de identidad: el atacante se hace pasar por una entidad confiable -un banco, una agencia gubernamental, una aerolinea, un empleador o incluso un conocido- y puede manipular el identificador de llamadas (spoofing) para que la llamada parezca legitima. Creacion de urgencia o alarma: el estafador plantea una situacion de emergencia para presionar a la victima a actuar con rapidez y sin verificar la informacion. Obtencion de datos sensibles: durante la llamada se solicita a la persona informacion como numeros de tarjeta, credenciales de acceso, contrasenas, documentos de identificacion o codigos de verificacion. Uso fraudulento de la informacion: con esos datos, los delincuentes acceden a cuentas, realizan compras, retiran fondos o cometen robo de identidad.
