Santiago, 27 de noviembre de 2025. ESET, empresa reconocida en la detección proactiva de amenazas, ha expuesto el incidente ocurrido en la Universidad de Harvard, donde el 18 de noviembre se produjo un ataque mediante ingeniería social que impactó al departamento de Relaciones con Exalumnos y Desarrollo Institucional. Los atacantes se comunicaron telefónicamente, simulando ser figuras de confianza, para inducir a un empleado a facilitar sus credenciales de acceso, permitiéndoles ingresar al sistema de la universidad. Una vez en el sistema, los ciberdelincuentes extrajeron volúmenes significativos de información sin levantar alertas inmediatas, retirando el acceso apenas la institución tomó conocimiento del suceso.
El incidente afectó datos personales de estudiantes, exalumnos, donantes, colaboradores y sus familiares. Aunque la institución aseguró que no se expusieron datos de alta sensibilidad, como contraseñas, números de seguridad social o información financiera, entre los datos filtrados figuran direcciones de correo electrónico, direcciones físicas, números telefónicos, registros de asistencia a eventos, detalles laborales y de actividades de recaudación de fondos, junto a información biográfica utilizada en programas especiales.
La universidad recomienda extremar la cautela ante comunicaciones sospechosas que sugieran provenir de la institución, en especial aquellas que soliciten restablecer contraseñas o suministrar información sensible como datos bancarios. Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, subraya que el vishing —una modalidad del phishing que se efectúa mediante llamada telefónica— dificulta la detección automática. En este sentido, recalca la importancia de la formación en ciberseguridad y la adopción de modelos Zero Trust para mitigar el éxito de estos ataques. Además, Gutiérrez Amaya alerta que los datos comprometidos suelen ser utilizados en fraudes posteriores, facilitando ataques de phishing más personalizados y siendo revendidos en la dark web, que representa una gran parte del mercado del cibercrimen.
El proceso de ataque, según explica ESET, inicia con una profunda investigación de la organización objetivo, donde los delincuentes recaban información pública, por ejemplo a través de LinkedIn, para perfilar la víctima y maximizar la efectividad del engaño. En un contexto marcado por la constante amenaza cibernética, el sector educativo, que maneja grandes volúmenes de información en infraestructuras heterogéneas y con presupuestos limitados en ciberseguridad, sigue siendo uno de los principales objetivos para los cibercriminales, situación respaldada por un informe de Microsoft que posicionó al entorno académico en el tercer lugar de ataques durante el segundo trimestre de 2024.
El suceso en Harvard deja en evidencia que la defensa contra la ciberdelincuencia requiere no solo de soluciones tecnológicas, sino también de la capacitación y concientización del factor humano. Para más información sobre seguridad informática y novedades en el sector, ESET invita a explorar su portal corporativo y a sintonizar su podcast “Conexión Segura”.
Autor: Roberto Sánchez