Cuando se habla de vulneraciones a instituciones, muchos
piensan en industrias financieras o que manejan dinero de manera masiva, sin
embargo, la Universidad Nacional Autónoma de México (UNAM) confirmó un acceso
no autorizado a varios de sus sistemas informáticos durante el receso
vacacional de fin de año. Según la Dirección General de Cómputo y Tecnologías
de Información y Comunicación (DGTIC), la intrusión se concentró en cinco de
los más de 100,000 sistemas que integran la infraestructura digital de la institución,
lo que obligó a activar protocolos de seguridad, inhabilitar servicios
comprometidos y coordinar con autoridades para presentar denuncias
correspondientes.
La UNAM, en un primer análisis técnico, aseguró que no hay
indicios de extracción de información de los sistemas que resguardan datos
personales del alumnado o del personal académico y administrativo, pero el
suceso mantiene en alerta al sector académico. Este incidente además evidencia
un problema estructural en la ciberdefensa de instituciones académicas que ya
sea públicas o privadas, mantienen un rezago ante este tipo de eventos. La
educación superior, tanto en México como en el resto del mundo, es un objetivo
persistente para ciberdelincuentes por la cantidad y variedad de información
que alberga, que vas desde datos de estudiantes y docentes hasta investigación
estratégica y propiedad intelectual. “Las organizaciones educativas reciben más
de 4,000 ataques semanales por institución, una cifra que supera ampliamente
los promedios globales de otros sectores productivos”, señaló Mohammed Khalil,
arquitecto de ciberseguridad en DeepStrike, una empresa de ciberseguridad.
Estudios internacionales, como el hecho por el gobierno del Reino Unido,
señalan que 30% de las instituciones de ese país han tenido vulneraciones y
Khalil argumenta que las razones son la riqueza de datos y una mezcla de menor
concienciación sobre riesgo cibernético y brechas de protección comparado con
otros sectores. El caso de la UNAM cobra todavía más relevancia si se compara
con prácticas competitivas de otras universidades globales para proteger su
infraestructura. La Universidad de Okayama, por ejemplo, ha fortalecido desde
hace años su Centro de Tecnologías de la Información y Gestión y su equipo de
respuesta ante incidentes (CSIRT), con soluciones modernas de prevención de
intrusiones y gestión de amenazas, para asegurar la continuidad de la
investigación y el acceso seguro de estudiantes y personal a servicios
académicos.
El valor de la información y el negocio de la vulnerabilidad
Si bien en este caso la UNAM ha minimizado la posibilidad de
que datos personales hayan salido de sus sistemas, medios especializados
reportaron que correos electrónicos privados, comprobantes de transferencias,
contraseñas y números de cuenta se habrían visto expuestos en algunos de los
sistemas afectados y que parte de esa información comenzó a circular en foros
de filtraciones. Por ejemplo, el reportero especializado en ciberseguridad,
Ignacio Gómez Villaseñor, señaló que la institución ha tenido este problema
persistente desde marzo de 2025. Y que el riesgo, incluso ante posibilidades
mínimas de exfiltración, es que este tipo de eventos creen mercados secundarios
de datos que empresas, instituciones y empleadores deben contemplar en su
gestión de riesgos. Desde una perspectiva de negocios, el hackeo revela dos
temas críticos. Primero, que la falta de inversiones sostenidas en
ciberseguridad en universidades puede traducirse en costos ocultos para la
colaboración con empresas, sobre todo en institutos que trabajen con industria
privada para el desarrollo de patentes. Segundo, que el mercado de soluciones
de ciberseguridad educativo se vuelve más atractivo. Khalil señala que el costo
de brechas de datos en la educación coloca la cifra promedio global en millones
de dólares por incidente, tomando en cuenta no solo la respuesta técnica, sino
la interrupción de operaciones, la pérdida reputacional y los gastos
colaterales de mitigación.
Una ecuación a resolver
La necesidad de fomentar una cultura de ciberseguridad,
alineada con las mejores prácticas globales es imperativo cuando se considera
que las instituciones de educación superior no solo forman talento, sino que
generan investigación crítica, datos estratégicos y plataformas de colaboración
con gobiernos y empresas. Para los actores del sector privado, el hackeo
universitario plantea una reflexión sobre cómo gestionar el riesgo compartido
en alianzas de investigación o transferencia de tecnología. Empresas que
participan en proyectos conjuntos con universidades ahora deben evaluar la
resiliencia digital de sus contrapartes como parte de sus estrategias de
mitigación. “Esto puede traducirse en nuevas exigencias contractuales, seguros
de riesgo cibernético, auditorías periódicas de sistemas o incluso el
establecimiento de estándares comunes de protección de datos”, señaló Khalil.
En un estudio de 2023, la Asociación Nacional de Universidades e Instituciones
de Educación Superior señaló que 36% de las universidades no cuenta con un
sistema de gestión de datos personales, lo que las hace particularmente
vulnerables a ataques cibernéticos. Las razones principales que identificó para
la falta de una estrategia adecuada de ciberseguridad incluyen insuficiencia de
presupuesto, en un 18% y falta de personal capacitado en un 17%.
Fuente de la Información
https://www.msn.com/es-mx/dinero/noticias/el-hackeo-de-la-unam-evidencia-la-falta-de-ciberseguridad-en-universidades/ar-AA1TQa8X?ocid=BingNewsSerp
