El arte de la extorsión: el caso de los hackers ShinyHunters y las universidades Harvard y UPenn

La estela digital de un grupo de hackers

En noviembre pasado, la Universidad de Pennsylvania (UPenn) confirmó una brecha de datos que afectaba a un grupo selecto de sistemas relacionados con actividades de desarrollo y relaciones con antiguos estudiantes. En ese momento, los hackers también enviaron correos electrónicos a antiguos estudiantes anunciando el hack desde direcciones oficiales de la universidad. La UPenn culparía la brecha de ingeniería social, un tipo de ataque que suele basarse en la impersonación de alguien y engañar a las personas para que hagan algo que no harían normalmente.

La extorsión como estrategia

Los hackers, conocidos como ShinyHunters, publicaron más de 1 millón de registros de cada universidad en su sitio web dedicado a la difusión de datos robados. Esta práctica es común entre los cibernicrímenes, que tratan de chantajear a sus víctimas para obtener un pago en lugar de publicar los datos robados. En este caso, los hackers afirmaron que publicaron los datos porque las universidades se negaron a pagar un rescate para evitar la difusión.

La brecha en Harvard

Más tarde, en noviembre pasado, la Universidad de Harvard también confirmó una brecha en sus sistemas de relaciones con antiguos estudiantes. La universidad atribuyó la brecha a un ataque de voz phishing, en el que los hackers engañaron a las víctimas para que accedieran a enlaces o abrieran archivos con llamadas de voz. Según Harvard, los datos robados incluían direcciones electrónicas, números telefónicos, direcciones residenciales y laborales, asistencia a eventos, detalles sobre donaciones a la universidad y otras informaciones biográficas relacionadas con las actividades de recaudación de fondos y engagement con antiguos estudiantes.

El análisis de riesgo

La publicación de datos robados puede ser un arma de doble filo. Mientras que la difusión pública puede ayudar a alertar sobre posibles brechas de seguridad, también puede llevar a víctimas inocentes a sufrir daños reputacionales y financieros. Además, la falta de transparencia en la respuesta a las brechas de datos puede erosionar la confianza entre los estudiantes, antiguos estudiantes y donantes. En este sentido, es importante que las universidades trabajen para mejorar la gestión de crisis y mantener informados a sus miembros sobre posibles riesgos y vulnerabilidades en su infraestructura digital.

Análisis de riesgo: La publicación de datos robados puede ser un indicador de una mayor exposición a ataques cibernéticos y una falta de preparedness para responder a brechas de seguridad. La transparencia y la comunicación efectiva son fundamentales para mitigar los daños y restaurar la confianza en las universidades.