Universidad de Harvard confirma que fue hackeada a través de la modalidad de phishing telefónico

La Universidad de Harvard se suma a la lista de instituciones de élite de Estados Unidos que han sido hackeadas. Según un reporte publicado en su página web, se detectó el acceso no autorizado a una base de datos que contenía información de alumnos, donantes, estudiantes y parte del profesorado.

De acuerdo con la institución, la brecha incluyó datos personales de contacto, detalles sobre donaciones y otra información vinculada a actividades de recaudación de fondos y relaciones con exalumnos.

La intrusión, perpetrada el martes 18 de noviembre mediante una técnica de phishing telefónico, motivó una respuesta inmediata del equipo de tecnología de la universidad. “Actuamos de manera inmediata para eliminar el acceso del atacante a nuestros sistemas e impedir nuevas intrusiones”, afirmó Tim Bailey, director de comunicaciones de Harvard University Information Technology, en una declaración enviada por correo electrónico.

Bailey añadió que la universidad trabaja con expertos externos en ciberseguridad y colabora con autoridades policiales en el proceso de investigación. Por el momento, se desconoce la identidad de los responsables.

Esta situación se suma a una serie de ataques que han impactado a instituciones de la Ivy League (el grupo de ocho universidades de élite de EE. UU.) en los últimos meses. Tan solo en octubre, Harvard había anunciado una investigación por posibles filtraciones relacionadas con una campaña de hacking dirigida a clientes de Oracle Corp.

Según la propia universidad, este tipo de amenazas es persistente: Harvard suele recaudar más de USD 1.000 millones al año y está dentro de las organizaciones educativas con mayor capacidad de convocatoria de fondos en el país.

Otras universidades de prestigio enfrentaron situaciones similares recientemente. El pasado 15 de noviembre, Princeton University detectó que su base de datos con información de exalumnos, donantes, estudiantes y otros integrantes de su comunidad había sido comprometida.

Por su parte, el 31 de octubre la University of Pennsylvania informó que ciertos sistemas de información vinculados a actividades de desarrollo institucional y relación con exalumnos también habían resultado afectados.

La lista continúa con Columbia University, que inició en junio una investigación tras reportar una violación que expuso la información personal de aproximadamente 870 mil personas, incluyendo estudiantes y postulantes, según notificó la entidad a funcionarios estatales.

Las universidades estadounidenses, y especialmente las pertenecientes a la Ivy League, se han convertido en blanco frecuente de los ciberdelincuentes, destacando la vulnerabilidad de las instituciones educativas frente a estrategias de ingeniería social y ataques sofisticados.

¿Cómo funciona el phishing telefónico?

El phishing telefónico, también conocido como vishing (una combinación de “voice” y “phishing”), es un tipo de fraude de ingeniería social en el que los ciberdelincuentes utilizan llamadas telefónicas fraudulentas o mensajes de voz para engañar a las personas y obtener su información personal, confidencial y financiera.

A diferencia del phishing tradicional que utiliza correos electrónicos o mensajes de texto, el vishing se basa en la interacción verbal y se aprovecha de la confianza que la gente suele tener en las comunicaciones telefónicas, que aún se consideran una forma segura de comunicación.

El método típico que usan los cibercriminales es el siguiente:

• Suplantación de identidad. El atacante se hace pasar por una entidad de confianza, como un banco, una agencia gubernamental (autoridad tributaria), una compañía aérea, un empleador, o incluso un conocido de la víctima. Pueden manipular el identificador de llamadas (spoofing) para que parezca que la llamada proviene de un número legítimo.
• Creación de un escenario urgente o alarmante. El estafador inventa una situación de emergencia para presionar a la víctima a actuar rápidamente sin pensar. 
• Obtención de información confidencial. Durante la llamada, el delincuente solicita a la víctima que proporcione datos sensibles, como números de tarjetas de crédito, credenciales de inicio de sesión, contraseñas, números de identificación personal o códigos de verificación.
• Uso de la información para fraude. Una vez obtenida la información, los estafadores la utilizan para acceder a las cuentas de la víctima, realizar compras, retirar dinero o cometer robo de identidad.