Desde universidades de la Ivy League hasta datos personales: ¡Las brechas de datos académicos están en su punto más alto!

No hizo falta nada más que una llamada telefónica con una voz familiar y convincente, un actor malicioso haciéndose pasar por contacto interno y la persona adecuada al otro lado de la línea. Así es como un hacker hábil consiguió su 'Vish'.

Conoce el nuevo modelo de negocio cibernético, 'Vishing'.

El acto de hacerse pasar por una entidad familiar para generar lástima, miedo o incluso simpatía y obtener información crítica como números de cuenta bancaria, códigos de acceso de un solo uso, contraseñas y más.

Hackers y atacantes están mejorando a esta convincente estafa como forma de persuasión utilizada como arma.

Familiaridad : una laguna psicológica que fácilmente atraviesa cortafuegos, BitLocker, antivirus y clava sus garras en ingenua confianza humana. Este es el comienzo de todas las brechas, estafas y ataques de rescate. Porque la familiaridad afianza la confianza, y la confianza digital se traduce en algo como "Conozco a esta persona... Déjame darles lo que piden".

Cuanto más familiares se vuelven tus interacciones digitales, menos sospechoso te vuelves, y ese es precisamente el tipo de manjar con el que se deleitan estos atacantes.

En este artículo, profundizaremos en cómo una universidad de élite fue víctima de algo tan simple como una llamada telefónica con una voz familiar al otro lado de la línea.

La universidad de la Ivy League alberga a 20.000 profesores y personal, 24.500 estudiantes tanto en programas de grado como de posgrado, y 400.000 antiguos alumnos en todo el mundo.

Con Harvard, se vulneraron bases de datos de antiguos alumnos, donantes, estudiantes y registros del profesorado.

Esto transmite un mensaje contundente: estos hackers no solo intentan acceder a datos financieros, sino que quieren identidades, redes, influencia y detalles de perfiles importantes de estudiantes.

Las universidades y otras instituciones educativas contienen una gran cantidad de información sobre historias personales, detalles destacados de antiguos alumnos y redes familiares, y eso es solo la parte personal.

En cuanto al precio real, estas instituciones son una mina de oro de conjuntos de datos que contienen información sobre documentos de investigación, resultados experimentales, registros y comunicaciones de subvenciones, archivos académicos y otras comunicaciones e información interna altamente confidencial.

La brecha expuso datos de contacto, datos biográficos, direcciones de correo electrónico, números de teléfono, direcciones de casa y negocio, y otra información sensible. La brecha también incluyó detalles sobre los cónyuges de los antiguos alumnos, datos de contacto de estudiantes actuales y padres.

No se filtraron registros financieros, contraseñas ni números de la seguridad social, pero sí se expuso información sobre donaciones, información relacionada con la recaudación de fondos y actividades con antiguos alumnos.

Harvard logró bloquear cualquier acceso adicional para evitar cualquier tipo de actividad no autorizada, y ha recurrido a un socio externo en ciberseguridad y a las fuerzas del orden para evitar más incidentes.

Aunque Harvard fue atacada dos veces en el mismo año, otras universidades de la Ivy League, como la Universidad de Pensilvania y Princeton, también sufrieron brechas similares.

La brecha de datos de la Universidad de Pensilvania:

La respuesta de la Universidad al ataque:

Los sistemas infectados fueron bloqueados rápidamente para evitar más intrusiones o cualquier tipo de acceso no autorizado. Recurrieron a una empresa externa de ciberseguridad, CrowdStrike, para investigar el incidente. Penn también informó de este incidente al FBI y ahora también ha implementado los parches de seguridad necesarios emitidos por Oracle para resolver las vulnerabilidades explotadas.

La Brecha de Princeton:

La respuesta de la Universidad al ataque:

Bueno, la brecha de este año puede ser la suplantación del año que viene.

Nunca se trata de lo que poseen; siempre se trata de lo que podrían hacer con todos esos datos. Se trata de cómo usan eso para construir algo peligroso mañana.

Los datos robados pueden venderse o retenerse para pedir un rescate, y eso está solamente en la superficie de lo que realmente podría suceder.

Cuando un hacker ataca una institución educativa, no está simplemente buscando extraer datos. Quieren influencia. Roban datos porque son un recurso multiusos. Esos datos pueden usarse, venderse, usarse para suplantación, retenerse como rescate o, peor aún, ser usados como arma y automatizados.

Con las universidades en el centro, especialmente las de la Ivy League, los datos de estudiantes y profesores que se explotan son de gran valor. Y esto se debe a que estos estudiantes o profesores no son simples individuos. Los datos también incluyen información sobre donantes, antiguos alumnos, profesores, investigadores y donantes que cuentan con un alto capital social y financiero.

Hoy en día, un solo correo electrónico de phishing, o uno que contenga información atractiva, podría exponer toda tu cuenta bancaria, ya sea una cuenta empresarial, personal o conjunta. Esto incluso podría manipular tu solicitud de inicio de sesión, o incluso secuestrar identidades digitales mañana.

Y precisamente por eso el cifrado es importante.

Con el cifrado, incluso si ocurre una brecha de datos, como mucho solo ven tus archivos, pero nunca pueden abrirlos ni alterar la información.

Una vez que los datos académicos o cualquier dato se exponen o comprometen, son tomados como rehenes de los cibermercados donde se venden, copian, multiplican o duplican indefinidamente. Esto significa que los datos filtrados nunca desaparecen realmente.

Aunque parezca absolutamente inofensivo, esto es solo munición para ciberdelitos dirigidos y acoso personalizado. La verdadera diversión para los hackers es que no solo están jugando con datos en bruto. Están jugando con la credibilidad que conlleva.

Con las filtraciones de datos en la universidad, los atacantes se hacen pasar por personas de confianza en el sistema universitario para hacer intentos de phishing y usar tácticas socialmente enriquecidas para parecer súper convincentes.

A través de esto, al final, el mayor riesgo no es la exposición de la información. Es usar la confianza como arma, la familiaridad como una grieta perfecta, usar la conexión para manipular el acceso, las finanzas y emplear una simple relación profesional que es familiar para una persona interna para tomar el control total.

Todo esto y más bajo el pretexto de una conexión académica legítima.

El cifrado ya no es solo una opción, y desde luego no es un simulacro que ocurre de vez en cuando. Debe ser una práctica diaria entre las organizaciones prevenir brechas graves.

Ya sea cifrado para negocios o simplemente para uso personal, es una inversión en tu tranquilidad y una protección perfecta para tu identidad.

El cifrado, si se implementa correctamente, básicamente significa que, incluso si alguien accediera a tu dispositivo o disco duro, solo obtendría texto cifrado ilegible e inútil. Por ejemplo, el cifrado AES-256 bits es uno de los tipos de cifrado más fuertes, insuperables y confiables que existen. ¿Y lo mejor? AxCrypt te ofrece esto, junto con seguridad en capas como protección por contraseña y prevención de brechas de datos.

Si quieres opciones seguras de intercambio de archivos para documentos como tus documentos de propiedad, documentos legales, material de investigación y otros documentos, este cifrado es un escudo silencioso pero fuerte que protege tu privacidad y tranquilidad.

No todos los ataques tienen que ser una brecha digital. Algunos solo necesitan a una persona crédula en el equipo o a una voz conocida que esté al otro lado de la línea.

Esta es una regla sencilla para detectar un ataque de vishing y que no se salgan con la suya.

¿Recibiste una llamada aleatoria en el trabajo? Me resulta bastante familiar, pero ¿algo no cuadra? Simplemente verifica esa llamada con una pregunta simple, inofensiva y personal que solo tú y la otra persona que está siendo suplantada sepáis.

Por ejemplo...

Imitador haciéndose pasar por el señor David: Oye Jane... Necesito que abras mi portátil y me envíes el archivo "ABC" inmediatamente.

Aquí es EXACTAMENTE donde se produce la brecha.

O bien Jane, de contabilidad, puede darle el archivo al suplantador y arruinar la empresa, O puede evitar un ataque de Vishing y ser ascendida con un buen aumento por esta decisión que tomó.

Jane: Claro. Lo haré. Pero, ¿cómo te fue en la cita con el dentista? ¿Te quitaron el diente?

Ahora el impostor responde, solo para seguir el juego hasta que consiga lo que busca. Pero Jane es más lista. Ella cuelga inmediatamente e informa al señor David, que está de vacaciones en Bora Bora con su familia.

Este es solo un ejemplo de cómo tus instintos, junto con un software de cifrado de conocimiento cero , podrían salvarte de ser el próximo titular sobre brechas de datos.