Filtración de datos de Harvard: todo sobre el ataque que empezó por llamado telefónico

El pasado 18 de noviembre, la prestigiosa universidad de Harvard, sufrió una filtración masiva de datos tras un ataque de ingeniería social que llegó a vulnerar al área de exalumnos y desarrollo de la institución. El ataque, según informó la propia entidad, se llevó a cabo a través de vishing, una variación del phishing que se realiza mediante una llamada telefónica. ¿Qué se sabe al respecto? ESET, la firma de ciberseguridad, analizó el caso y nos compartió detalles relevantes.

Ciberataque a Harvard

Los ciberdelincuentes tenían como objetivo al área de Relaciones con Exalumnos y Desarrollo Institucional (Alumni Affairs and Development) y lograron engañar a un trabajador de ese departamento para que entregara voluntariamente sus credenciales de acceso. Así ingresaron al sistema.

PUEDES VER: ¿Tu celular es resistente o a prueba de agua? Así puedes descubrirlo y evitar que se dañe al mojarlo

¿Qué es vishing?

Según precisan desde ESET, "el vishing es una variación del phishing que se realiza telefónicamente, donde los atacantes se hacen pasar por alguien de confianza o usurpan el nombre de alguna entidad conocida para engañar al usuario y lograr que entregue información sensible. Es más difícil activar filtros automáticos. La concientización es uno de los pilares contra este tipo de estrategias criminales”.

Tras ello, cuando se apoderan de las credenciales, el atacante es capaz de acceder a los sistemas internos y extraer datos masivos sin levantar sospechas inmediatas.

PUEDES VER: Modo avión de smartphones: ¿qué es y realmente es necesario activarlo en tus vuelos?

¿A qué accedieron?

El ataque a los datos de la universidad comprometió y expuso información personal del estudiantado, exestudiantes, donantes y parte del personal de la institución, así como algunos familiares. Lo cierto es que, aunque han asegurado que no se revelaron los datos más sensibles, como contraseñas, números de seguridad social o información financiera, sí saltan estos datos:

• Correo electrónico y postales.
• Números telefónicos.
• Registros de asistencia a eventos.
• Direcciones personales y laborales.
• Detalles sobre donaciones y recaudación de fondos.
• Información adicional y biográfica.

PUEDES VER: Resistencia al agua, rayaduras y caídas: así hacen teléfonos extremos de OPPO en fábricas de China

¿Cómo protegerse?

De parte de la universidad, instaron a que se desconfíe de las llamadas, mensajes de texto o correos electrónicos que simulen ser enviados por la institución, en específico sobre los que pidan el restablecimiento de contraseñas o información sensible.

“Los datos robados suelen ser utilizados en posteriores fraudes. Permiten a los ciberdelincuentes realizar ataques de phishing u otras formas de ingeniería más personalizados y dirigidos. Los datos suelen ser puestos a la venta en foros de la dark web y alimentan un mercado del cibercrimen en constante crecimiento en el cual las credenciales robadas representan casi dos tercios de las transacciones que se realizan en este mercado clandestino.”, precisa Gutiérrez Amaya, especialista de ESET Latinoamérica.