La Universidad Nacional Autónoma de México afronta una de las peores crisis de ciberseguridad de su historia tras confirmarse un ciberataque masivo que habría dejado al descubierto información delicada de buena parte de su comunidad. El incidente, registrado entre el 31 de diciembre y el 1 de enero, ha puesto bajo sospecha los sistemas de protección de la institución y su capacidad de respuesta ante amenazas de este calibre.
Fuentes universitarias y especialistas en seguridad digital coinciden en que el ataque no solo afectó a correos institucionales y privados, sino también a datos personales, académicos y financieros de estudiantes, trabajadores y personal directivo. Aunque la universidad ha tratado de restar importancia al alcance, los indicios técnicos y las filtraciones apuntan a un escenario mucho más serio de lo que reflejan los comunicados oficiales.
Un ataque coordinado en plena transición de año
Durante la noche del 31 de diciembre y las primeras horas del 1 de enero, la Dirección General de Cómputo y de Tecnologías de Información y Comunicación (DGTIC) perdió el control operativo de varios de sus servidores durante, al menos, 18 horas. Ese intervalo de tiempo habría sido aprovechado por los atacantes para moverse con bastante libertad dentro de la infraestructura tecnológica de la universidad.
Según la reconstrucción realizada por expertos y periodistas especializados, el ataque se centró inicialmente en los sistemas de la Secretaría de Desarrollo Institucional (SDI). El primer indicio visible fue la aparición de una imagen de una calavera en el sitio web de esta dependencia, un gesto clásico de ciertos grupos de ciberdelincuentes para dejar constancia de la intrusión y, de paso, lanzar un aviso público.
El periodista de temas digitales Ignacio Gómez Villaseñor ha tenido acceso a documentos internos y a evidencias técnicas que confirman que el grupo identificado como “ByteToBreach” consiguió infiltrarse en los servidores de la UNAM. Su análisis forense de los archivos apunta a que la operación no fue un incidente puntual, sino la culminación de una serie de vulneraciones previas.
De acuerdo con esta investigación, el ataque masivo habría puesto en riesgo al menos 200 comunicaciones o correos de Rectoría y los correos electrónicos de más de 300.000 integrantes de la comunidad universitaria. A esto se suman diversos repositorios de datos con información especialmente sensible, muchos de ellos vinculados a servicios administrativos y financieros.
Datos personales, académicos y financieros en el punto de mira
La información comprometida abarcaría un abanico muy amplio de datos personales y académicos, desde elementos identificativos básicos hasta documentación interna de alto nivel. Los reportes internos señalan que entre el material expuesto se encontrarían números de cuenta, matrículas universitarias, comprobantes de transferencias bancarias y facturas, así como contraseñas cifradas asociadas a cuentas institucionales.
Los atacantes habrían accedido a correos electrónicos privados e institucionales de estudiantes, académicos, personal administrativo y mandos directivos, lo que incluye, según las filtraciones, comunicaciones confidenciales de altos funcionarios de la universidad y mensajes procedentes de la Oficina del Rector. Esa capa de información resulta especialmente delicada, al contener potencialmente decisiones internas, discusiones estratégicas y documentación de gestión universitaria.
Entre los archivos que habrían quedado expuestos se mencionan también documentos administrativos y comprobantes de pago, así como registros vinculados a servicios de facturación y gestión de matrículas. Al tratarse de un volumen masivo de información, la comunidad universitaria teme que parte de esos datos puedan ser utilizados para fraude financiero, suplantación de identidad o extorsión.
El alcance de la filtración, según los análisis disponibles, podría afectar a más de 380.000 alumnos y académicos, una cifra que convertiría este incidente en uno de los hackeos más graves sufridos por una institución educativa en México y, por extensión, en el ámbito latinoamericano, situándolo al nivel de otros grandes ataques que han afectado a universidades europeas y españolas en los últimos años.
La grieta técnica: vulnerabilidad CVE-2025-66478 y fallo en el mantenimiento
En el plano técnico, los informes apuntan a que el ataque aprovechó una vulnerabilidad catalogada como CVE-2025-66478, asociada a servidores basados en Next.js. Esta debilidad habría permanecido sin resolver durante un periodo clave, coincidiendo con una etapa de inestabilidad laboral y retrasos administrativos en el equipo encargado del desarrollo y mantenimiento de los sistemas.
El propio Gómez Villaseñor vincula el éxito del ataque con el contexto interno de la universidad. Una carta fechada el 19 de septiembre de 2025, firmada por integrantes de la Coordinación de Proyectos Tecnológicos (CPTI), denunciaba que ingenieros y desarrolladores llevaban meses sin cobrar sus honorarios debido a “procesos de auditoría”, lo que generó un clima de protesta y precariedad dentro del área tecnológica.
Ese escenario, sumado a la presión diaria sobre los servicios digitales, habría dificultado la aplicación rápida de parches de seguridad y tareas de mantenimiento crítico. De esta forma, la vulnerabilidad CVE-2025-66478 se mantuvo activa el tiempo suficiente para que los atacantes pudieran explotarla con relativa comodidad, abriendo una puerta de entrada a los sistemas centrales.
Además de la debilidad en los servidores Next.js, los ciberdelincuentes habrían comprometido los balanceadores de carga F5 BIG-IP, elementos clave en la gestión del tráfico de red. Al tomar el control de estos equipos, pudieron redirigir conexiones, interceptar información y facilitar movimientos laterales dentro de la infraestructura, incrementando así la profundidad de la intrusión.
Métodos empleados por el grupo ByteToBreach
Los indicios técnicos recopilados describen una cadena de ataque sofisticada que combinó varias técnicas ya conocidas en el ámbito de la ciberseguridad. Por un lado, se habrían utilizado llaves SSH privadas expuestas en equipos de la universidad, una práctica de riesgo que, si no se gestiona correctamente, abre un acceso directo a servidores internos con muy pocas barreras.
Una vez dentro, el grupo habría escalado privilegios hasta alcanzar acceso Root al directorio LDAP, el corazón del sistema de autenticación y gestión de identidades de la institución. Con ese nivel de control es posible consultar, modificar y extraer masivamente registros de usuarios, lo que explicaría la magnitud de la filtración de matrículas, correos y contraseñas cifradas.
El hecho de que el atacante haya publicado un desglose detallado de los pasos seguidos para vulnerar los sistemas no es casual. Según explicó Gómez Villaseñor, muchos grupos optan por hacer pública esta información para blindarse frente a eventuales desmentidos institucionales y demostrar, con evidencia técnica, que la intrusión fue real y de gran alcance.
Esta práctica, aunque supone un riesgo añadido al difundir vectores de ataque, también revela hasta qué punto los sistemas comprometidos podían presentar configuraciones débiles, credenciales mal gestionadas o parches sin aplicar, un catálogo de problemas que no es ajeno a otras universidades europeas y españolas que han sufrido incidentes recientes.
Antecedentes: accesos ilícitos desde marzo de 2025
El ciberataque de fin de año no se habría producido en un vacío. Un oficio de la Abogacía General de la UNAM confirma que el 13 de marzo de 2025 ya se detectó un primer “acceso ilícito” a los sistemas de la Secretaría de Desarrollo Institucional. En aquel momento, la universidad presentó una denuncia ante la Fiscalía General de la República (FGR), poniendo oficialmente en conocimiento de las autoridades la brecha inicial.
Sin embargo, la evolución del procedimiento no fue precisamente ágil. Hacia agosto de 2025, la FGR habría solicitado información adicional a la unidad administrativa de la SDI, advirtiendo de que, si no se aportaban los datos requeridos, el expediente podría cerrarse. La universidad, según los documentos citados, no habría enviado toda la información pedida, en parte porque el equipo técnico trabajaba bajo protesta y en condiciones laborales muy tensas.
A estos antecedentes se suman otras vulneraciones graves registradas en 2024, que ya habían encendido las alarmas sobre el estado real de la ciberseguridad institucional. El último ataque, más visible y masivo, no sería por tanto un caso aislado, sino el punto culminante de una cadena de incidentes que no se habría abordado con la contundencia necesaria.
Gómez Villaseñor sostiene que el atacante habría conseguido incluso establecer persistencia dentro de los sistemas, es decir, la capacidad de mantenerse oculto y recuperar el control en el futuro, aunque se lleven a cabo acciones reactivas de limpieza. Si ese extremo se confirmara, la universidad se vería obligada a revisar en profundidad toda su infraestructura, algo complejo y costoso tanto en tiempo como en recursos.
Publicación y venta de la información robada
Una vez consolidado el acceso y extraídos los datos, el siguiente paso del grupo atacante habría sido la monetización de la información. De acuerdo con las filtraciones, el hacker conocido como ByteToBreach publicó parte de la base de datos de la UNAM en un foro internacional de ciberdelincuencia, bajo el título:
UNAM University Databases
Este tipo de anuncios suele dirigirse a redes de ciberdelincuentes interesados en comprar paquetes de datos para distintos usos ilícitos: desde campañas masivas de phishing hasta intentos de fraude financiero o suplantación de identidad. El hecho de que el anuncio haga referencia explícita a una universidad de gran tamaño incrementa su valor en estos mercados clandestinos.
El potencial daño no se limita al ámbito mexicano. Bases de datos de este tipo pueden emplearse para ataques dirigidos contra empresas y organismos de otros países, incluida Europa o España, aprovechando direcciones de correo reutilizadas, contraseñas compartidas entre servicios y datos bancarios vinculados a operaciones internacionales. Por ello, incidentes como el de la UNAM se siguen con atención desde la comunidad de ciberseguridad europea.
Entre los riesgos más preocupantes se encuentran la posible utilización fraudulenta de información personal y financiera, la creación de perfiles detallados de estudiantes e investigadores para campañas de ingeniería social y el uso de los datos como moneda de cambio en negociaciones entre grupos criminales. Todo ello incrementa la superficie de exposición, no solo para la universidad, sino para cualquier entidad que mantenga vínculos con miembros de su comunidad.
Documentos internos sensibles y controversias añadidas
El ataque no se habría limitado a la extracción de datos de carácter personal. Entre los archivos que habrían quedado expuestos figuran también documentos internos de la Coordinación de Vinculación y Transferencia Tecnológica (CVTT), responsables de la gestión de patentes y proyectos de innovación en la universidad.
De acuerdo con la información filtrada, en 2025 la UNAM habría otorgado un premio a una patente relacionada con la regeneración dental, pese a que esta ya había sido denunciada como plagio en junio de 2024. La aparición de estos documentos en el marco del ciberataque añade una dimensión reputacional al incidente, al poner sobre la mesa decisiones internas potencialmente polémicas.
La filtración de este tipo de archivos internos demuestra hasta qué punto los atacantes pudieron acceder a repositorios documentales sensibles, más allá de simples bases de datos operativas. En caso de que el material se difunda por completo, podrían aflorar nuevas controversias que afecten tanto a la administración central como a grupos de investigación concretos.
Este tipo de impactos colaterales ha sido ya observado en otros casos ocurridos en universidades europeas, donde brechas de seguridad han terminado sacando a la luz informes confidenciales, borradores de contratos y documentos relacionados con propiedad intelectual, generando un efecto dominó más allá del problema estrictamente técnico.
Respuesta oficial de la UNAM y percepción pública
Frente a la avalancha de informaciones sobre el incidente, la DGTIC de la UNAM emitió un comunicado en el que reconocía una “intrusión no autorizada” en sus sistemas. No obstante, el mensaje institucional insistía en que el ataque habría afectado únicamente a cinco de los más de 100.000 sistemas informáticos con los que cuenta la universidad, una cifra que contrasta con la magnitud descrita por las filtraciones.
La institución aseguró haber activado de inmediato los protocolos de seguridad informática, lo que habría incluido la desconexión preventiva de los sistemas comprometidos y la revisión de los servicios afectados. Sin embargo, la falta de detalles concretos sobre el tipo de datos expuestos y el número real de personas afectadas ha alimentado la percepción de que la respuesta oficial podría estar siendo demasiado prudente, cuando no directamente insuficiente.
Mientras tanto, especialistas en ciberseguridad han insistido en la necesidad de que la universidad ofrezca información clara y transparente a su comunidad, incluyendo recomendaciones específicas para la gestión de contraseñas, la vigilancia de movimientos bancarios y la detección de posibles intentos de suplantación. Sin una comunicación precisa, muchos usuarios desconocen todavía el grado de riesgo al que se enfrentan.
En paralelo, se han planteado debates sobre el modelo de gobernanza tecnológica en la institución, la dotación de recursos humanos y económicos destinada a la seguridad digital y el papel de las autoridades universitarias a la hora de priorizar inversiones en este ámbito, un debate muy similar al que mantienen desde hace años numerosas universidades en España y el resto de Europa.
Todo este episodio pone sobre la mesa la importancia de contar con equipos técnicos estables, bien remunerados y con margen de actuación, así como con políticas de actualización continua y auditorías independientes, elementos que, cuando fallan, pueden abrir la puerta a incidentes de gran calado como el que actualmente sacude a la UNAM.
El caso deja una estela de incógnitas sobre el verdadero alcance del ciberataque masivo, la cantidad de datos que han podido circular ya por foros de ciberdelincuencia y la capacidad real de la universidad para restaurar la confianza de su comunidad. Si algo parece claro a día de hoy es que la institución tendrá que reforzar de forma profunda su estrategia de ciberseguridad y su comunicación con estudiantes y personal, en un contexto internacional en el que las universidades, tanto en América Latina como en Europa, se han convertido en un objetivo prioritario para los atacantes digitales.
