El ciberataque que exhibe la negligencia institucional en la UNAM

La Universidad Nacional Autónoma de México (UNAM) se encuentra en el centro de una de las crisis más complejas de su historia reciente, luego de que saliera a la luz un ataque informático de gran alcance que comprometió información estratégica y evidenció deficiencias profundas en seguridad digital, gobernanza institucional y capacidad de respuesta ante incidentes. La intrusión dejó expuestos datos personales de cientos de miles de estudiantes y académicos, así como comunicaciones internas de alto nivel y documentación que sugiere la existencia de presuntas irregularidades, incluyendo plagios, abusos de autoridad y denuncias que no habrían sido atendidas oportunamente.

La unidad de investigación de SILIKN corroboró la información difundida por el periodista Ignacio Gómez Villaseñor, quien señaló que el ciberataque fue atribuido a un actor identificado como ByteToBreach, previamente vinculado con la vulneración de la aplicación Factura SAT Móvil. Según lo documentado, el responsable habría logrado comprometer servidores de la universidad y obtener acceso a bases de datos que contenían información de más de 300 mil estudiantes. Lo que inicialmente se interpretó como una acción meramente simbólica —tras la publicación de una imagen en el sitio web de un área administrativa— se confirmó posteriormente como una intrusión avanzada, sostenida en el tiempo y con control efectivo sobre sistemas críticos de la institución.

Los análisis técnicos realizados sobre los archivos filtrados descartan que se tratara de un evento fortuito. Documentos de la Abogacía General de la UNAM confirman que desde el 13 de marzo de 2025 se detectó un primer acceso no autorizado a los sistemas de la entonces SDI, lo que motivó la presentación de una denuncia ante la Fiscalía General de la República (FGR). Pese a ello, la atención institucional fue limitada. En agosto de 2025, la FGR emitió un requerimiento urgente para la entrega de pruebas periciales en un plazo de cinco días, advirtiendo que el expediente sería cerrado de no cumplirse, lo que evidenció una reacción tardía frente a un riesgo previamente identificado.

El contexto interno contribuyó a agravar el escenario. Mientras se exigían avances en la investigación, el personal encargado de la operación tecnológica enfrentaba condiciones laborales adversas. Una carta fechada el 19 de septiembre de 2025, suscrita por integrantes de la Coordinación de Proyectos Tecnológicos (CPTI), da cuenta de retrasos prolongados en el pago de honorarios derivados de procesos de auditoría, generando incertidumbre y debilitando la capacidad operativa del área. La vulnerabilidad crítica que permitió el ataque final —identificada como CVE-2025-66478 en servidores basados en Next.js— coincide con este periodo de inestabilidad, lo que habría favorecido fallas en tareas esenciales de mantenimiento y supervisión.

Desde el plano técnico, el impacto fue considerable. Los atacantes lograron comprometer balanceadores de carga F5 BIG-IP mediante el uso de llaves SSH privadas que presuntamente permanecieron expuestas en equipos universitarios, permitiéndoles manipular el tráfico de red de distintas facultades e incluso de plataformas alojadas en infraestructura de la UNAM, como el diario La Jornada. Además, obtuvieron acceso con privilegios administrativos al directorio LDAP, dejando expuestas matrículas, direcciones de correo electrónico y contraseñas cifradas de más de 380 mil estudiantes y académicos. La intrusión alcanzó también cuentas de correo institucional de altos funcionarios, incluidas comunicaciones vinculadas a la Oficina del Rector.

El contenido de los documentos filtrados destapó una serie de controversias de alto impacto. Correos electrónicos fechados en noviembre de 2025 sugieren que la Junta de Gobierno tenía conocimiento de denuncias graves contra el director de la sede UNAM Canadá, relacionadas con presunto acoso laboral y conductas inapropiadas. Ante la falta de una respuesta institucional clara, las personas afectadas recurrieron a autoridades canadienses y a la Embajada de México, llevando el conflicto a un ámbito diplomático. En paralelo, archivos de la Coordinación de Vinculación (CVTT) indican que en 2025 la universidad otorgó el Premio PROFOPI a una patente sobre regeneración dental que ya había sido señalada como plagio desde junio de 2024, pese a la existencia de documentación que reconocía la titularidad institucional de la tecnología.

La filtración también evidenció presuntos casos de impunidad interna con consecuencias directas para la seguridad de la comunidad universitaria. Entre los archivos se encuentra una denuncia contra un operador del sistema de transporte Pumabús, acusado de conductas que pondrían en riesgo a los usuarios y que, de acuerdo con la documentación, no habría sido sancionado debido a dinámicas de protección sindical.

Este episodio se inscribe en una serie de antecedentes que ya advertían sobre la fragilidad de la infraestructura digital universitaria. Desde marzo de 2024, la UNAM había sido afectada por la explotación de una vulnerabilidad en Zimbra, que derivó en la extracción de cerca de 907.75 GB de correos electrónicos del dominio del IIMAS. A ello se sumó la actividad del grupo de ransomware RansomHub, que durante 2024 comprometió a múltiples organizaciones de alto perfil en México y el extranjero, incluida nuevamente la UNAM. De forma paralela, la unidad de investigación de SILIKN alertó en julio de 2024 sobre campañas activas del grupo APT INC, advirtiendo que diversas instituciones educativas del país, entre ellas la UNAM, presentaban configuraciones inseguras.

Tras la intrusión, ByteToBreach publicó en un foro internacional de ciberdelincuencia un anuncio ofreciendo acceso total a las bases de datos universitarias bajo el título “[SELLING] [MX] UNAM University Databases”, sin establecer un precio específico. La magnitud y sensibilidad del material comprometido sugieren que lo divulgado hasta ahora podría representar sólo una fracción del daño real.

Ante este panorama, existe el riesgo de que la respuesta institucional se limite a minimizar los hechos o a anunciar investigaciones internas sin resultados públicos, un patrón observado en episodios anteriores. Esta dinámica no solo debilita la credibilidad de la universidad, sino que impacta de forma directa y duradera a miles de personas cuyos datos personales hoy se encuentran expuestos a extorsión, suplantación de identidad y ataques de ingeniería social.

Más allá del impacto reputacional, el caso subraya la urgencia de reforzar los controles de seguridad, profesionalizar la gestión tecnológica y consolidar una cultura de protección de datos en las instituciones públicas. La filtración no constituye únicamente un error técnico, sino una advertencia clara sobre la fragilidad de infraestructuras críticas y las consecuencias reales que estas vulnerabilidades tienen para la privacidad, la seguridad y la confianza pública.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | NIST Cybersecurity Framework 2.0 Certified Expert (CSFE) | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.X:https://x.com/victor_ruizInstagram:https://www.instagram.com/siliknYouTube:https://www.youtube.com/@silikn7599** Las expresiones emitidas en esta columna son responsabilidad de quien las escribe y no necesariamente coinciden con la línea editorial de Infobae México, respetando la libertad de expresión de expertos.