La Universitat Nacional Autònoma de Mèxic afronta una de les pitjors crisis de ciberseguretat de la seva història després de confirmar-se un ciberatac massiu que hauria deixat al descobert informació delicada de bona part de la comunitat. L'incident, registrat entre el 31 de desembre i l'1 de gener, ha posat sota sospita els sistemes de protecció de la institució i la seva capacitat de resposta davant d'amenaces d'aquest calibre.
Fonts universitàries i especialistes en seguretat digital coincideixen que l'atac no només va afectar correus institucionals i privats, Sinó també a dades personals, acadèmiques i financeres estudiants, treballadors i personal directiu. Encara que la universitat ha tractat de treure importància a l'abast, els indicis tècnics i les filtracions apunten a un escenari molt més seriós del que reflecteixen els comunicats oficials.
Un atac coordinat en plena transició d´any
Durant la nit del 31 de desembre i les primeres hores de l'1 de gener, la Direcció General de Còmput i Tecnologies d'Informació i Comunicació (DGTIC) va perdre el control operatiu de diversos servidors durant, almenys, 18 hores. Aquest interval de temps hauria estat aprofitat pels atacants per moure's amb força llibertat dins de la infraestructura tecnològica de la universitat.
Segons la reconstrucció realitzada per experts i periodistes especialitzats, l'atac es va centrar inicialment en els sistemes de la Secretaria de Desenvolupament Institucional (SDI). El primer indici visible va ser l'aparició d'una imatge d'una calavera al lloc web d'aquesta dependència, un gest clàssic de certs grups de ciberdelinqüents per deixar constància de la intrusió i, de passada, llençar un avís públic.
El periodista de temes digitals Ignacio Gómez Villasenyor ha tingut accés a documents interns ia evidències tècniques que confirmen que el grup identificat com “ByteToBreach” va aconseguir infiltrar-se als servidors de la UNAM. La seva anàlisi forense dels arxius apunta que l?operació no va ser un incident puntual, sinó la culminació d?una sèrie de vulneracions prèvies.
Segons aquesta investigació, l'atac massiu hauria posat en risc almenys 200 comunicacions o correus de Rectoria i als correus electrònics de més de 300.000 integrants de la comunitat universitària. A això se sumen diversos repositoris de dades amb informació especialment sensible, molts vinculats a serveis administratius i financers.
Dades personals, acadèmiques i financeres al punt de mira
La informació compromesa abastaria un ventall molt ampli de dades personals i acadèmiques, des d'elements identificatius bàsics fins a documentació interna d'alt nivell. Els reports interns assenyalen que entre el material exposat es trobarien números de compte, matrícules universitàries, comprovants de transferències bancàries i factures, així com contrasenyes xifrades associades a comptes institucionals.
Els atacants haurien accedit a correus electrònics privats i institucionals d'estudiants, acadèmics, personal administratiu i comandaments directius, cosa que inclou, segons les filtracions, comunicacions confidencials d'alts funcionaris de la universitat i missatges procedents de la Oficina del Rector. Aquesta capa d'informació és especialment delicada, ja que conté potencialment decisions internes, discussions estratègiques i documentació de gestió universitària.
Entre els fitxers que haurien quedat exposats s'esmenten també documents administratius i comprovants de pagament, així com registres vinculats a serveis de facturació i gestió de matrícules. Com que es tracta d'un volum massiu d'informació, la comunitat universitària tem que part d'aquestes dades puguin ser utilitzades per frau financer, suplantació d'identitat o extorsió.
L'abast de la filtració, segons les anàlisis disponibles, podria afectar més de 380.000 alumnes i acadèmics, una xifra que convertiria aquest incident en un dels pirates més greus patits per una institució educativa a Mèxic i, per extensió, en l'àmbit llatinoamericà, situant-lo al nivell d'altres grans atacs que han afectat universitats europees i espanyoles en els darrers anys.
L'esquerda tècnica: vulnerabilitat CVE-2025-66478 i fallada en el manteniment
En el pla tècnic, els informes apunten que l'atac en va aprofitar una vulnerabilitat catalogada com a CVE-2025-66478, associada a servidors basats en Next.js. Aquesta debilitat hauria estat sense resoldre durant un període clau, coincidint amb una etapa de inestabilitat laboral i retards administratius a l'equip encarregat del desenvolupament i manteniment dels sistemes.
Gómez Villaseñor mateix vincula l'èxit de l'atac amb el context intern de la universitat. Una carta datada el 19 de setembre de 2025, signada per integrants de la Coordinació de Projectes Tecnològics (CPTI), denunciava que feia mesos que enginyers i desenvolupadors no cobraven els seus honoraris a causa de “processos d'auditoria”, fet que va generar un clima de protesta i precarietat dins de l'àrea tecnològica.
Aquest escenari, sumat a la pressió diària sobre els serveis digitals, hauria dificultat l'aplicació ràpida de pegats de seguretat i tasques de manteniment crític. D'aquesta manera, la vulnerabilitat CVE-2025-66478 es va mantenir activa el temps suficient perquè els atacants la poguessin explotar amb relativa comoditat, obrint una porta d'entrada als sistemes centrals.
A més de la debilitat als servidors Next.js, els ciberdelinqüents haurien compromès els balancejadors de càrrega F5 BIG-IP, elements clau en la gestió del trànsit de xarxa. En prendre el control d'aquests equips, van poder redirigir connexions, interceptar informació i facilitar moviments laterals dins de la infraestructura, incrementant així la profunditat de la intrusió.
Mètodes emprats pel grup ByteToBreach
Els indicis tècnics recopilats descriuen una cadena d'atac sofisticada que va combinar diverses tècniques ja conegudes a l'àmbit de la ciberseguretat. D'una banda, s'haurien utilitzat claus SSH privades exposades en equips de la universitat, una pràctica de risc que, si no es gestiona correctament, obre un accés directe a servidors interns amb molt poques barreres.
Un cop dins, el grup hauria escalat privilegis fins a assolir accés Arrel al directori LDAP, el cor del sistema d‟autenticació i gestió d‟identitats de la institució. Amb aquest nivell de control és possible consultar, modificar i extreure massivament registres d'usuaris, cosa que explicaria la magnitud de la filtració de matrícules, correus i contrasenyes xifrades.
El fet que l'atacant hagi publicat un desglossament detallat dels passos seguits per vulnerar els sistemes no és casual. Segons va explicar Gómez Villaseñor, molts grups opten per fer pública aquesta informació per blindar-se davant d'eventuals desmentits institucionals i demostrar, amb evidència tècnica, que la intrusió va ser real i de gran abast.
Aquesta pràctica, tot i suposar un risc afegit en difondre vectors d'atac, també revela fins a quin punt els sistemes compromesos podien presentar configuracions febles, credencials mal gestionades o pegats sense aplicar, un catàleg de problemes que no és aliè a altres universitats europees i espanyoles que han patit incidents recents.
Antecedents: accessos il·lícits des del març del 2025
El ciberatac de final d'any no s'hauria produït en un buit. Un ofici de l'Advocacia General de la UNAM confirma que el 13 de març de 2025 ja es va detectar un primer “accés il·lícit” als sistemes de la Secretaria de Desenvolupament Institucional. En aquell moment, la universitat en va presentar una denúncia davant la Fiscalia General de la República (FGR), posant oficialment en coneixement de les autoritats la bretxa inicial.
Tot i això, l'evolució del procediment no va ser precisament àgil. Cap agost de 2025, la FGR hauria sol·licitat informació addicional a la unitat administrativa de la SDI, advertint que, si no s'aportaven les dades requerides, l'expedient es podria tancar. La universitat, segons els esmentats documents, no hauria enviat tota la informació demanada, en part perquè l'equip tècnic treballava sota protesta i en condicions laborals molt tenses.
A aquests antecedents se sumen altres vulneracions greus registrades el 2024, que ja havien encès les alarmes sobre l'estat real de la ciberseguretat institucional. L'últim atac, més visible i massiu, no seria, per tant, un cas aïllat, sinó el punt culminant d'una cadena d'incidents que no s'hauria abordat amb la contundència necessària.
Gómez Villaseñor sosté que l'atacant hauria aconseguit fins i tot establir persistència dins dels sistemes, és a dir, la capacitat de mantenir-se ocult i recuperar el control en el futur, encara que es duguin a terme accions reactives de neteja. Si aquest extrem es confirmés, la universitat es veuria obligada a revisar en profunditat tota la infraestructura, una mica complex i costós tant en temps com en recursos.
Publicació i venda de la informació robada
Un cop consolidat l'accés i extretes les dades, el pas següent del grup atacant hauria estat la monetització de la informació. D'acord amb les filtracions, el hacker conegut com ByteToBreach va publicar part de la base de dades de la UNAM en un fòrum internacional de ciberdelinqüència, Sota el títol:
UNAM University Databases
Aquest tipus d'anuncis se sol adreçar a xarxes de ciberdelinqüents interessats a comprar paquets de dades per a diferents usos il·lícits: des de campanyes massives de pesca (phishing) fins a intents de frau financer o suplantació d'identitat. El fet que l'anunci faci referència explícita a una universitat de grans dimensions incrementa el seu valor en aquests mercats clandestins.
El dany potencial no es limita a l'àmbit mexicà. Bases de dades d'aquest tipus es poden emprar per atacs dirigits contra empreses i organismes d'altres països, inclosa Europa o Espanya, aprofitant adreces de correu reutilitzades, contrasenyes compartides entre serveis i dades bancàries vinculades a operacions internacionals. Per això, incidents com el de la UNAM se segueixen amb atenció des de la comunitat de ciberseguretat europea.
Entre els riscos més preocupants hi ha la possible utilització fraudulenta d'informació personal i financera, La creació d' perfils detallats d'estudiants i investigadors per a campanyes denginyeria social i lús de les dades com a moneda de canvi en negociacions entre grups criminals. Tot això incrementa la superfície d'exposició, no només per a la universitat, sinó per a qualsevol entitat que mantingui vincles amb membres de la comunitat.
Documents interns sensibles i controvèrsies afegides
L'atac no hauria estat limitat a l'extracció de dades de caràcter personal. Entre els fitxers que haurien quedat exposats figuren també documents interns de la Coordinació de Vinculació i Transferència Tecnològica (CVTT), responsables de la gestió de patents i projectes d'innovació a la universitat.
D'acord amb la informació filtrada, el 2025 la UNAM hauria atorgat un premi a una patent relacionada amb la regeneració dental, malgrat que aquesta ja havia estat denunciada com a plagi el juny de 2024. L'aparició d'aquests documents en el marc del ciberatac afegeix una dimensió reputacional a l'incident, en posar sobre la taula decisions internes potencialment polèmiques.
La filtració d'aquest tipus de fitxers interns demostra fins a quin punt els atacants van poder accedir a repositoris documentals sensibles, més enllà de simples bases de dades operatives. En cas que el material es difongui completament, podrien aflorar noves controvèrsies que afectin tant l'administració central com els grups de recerca concrets.
Aquest tipus d'impactes col·laterals ja ha estat observat en altres casos ocorreguts a universitats europees, on bretxes de seguretat han acabat traient a la llum informes confidencials, esborranys de contractes i documents relacionats amb propietat intel·lectual, generant un efecte dòmino més enllà del problema estrictament tècnic.
Resposta oficial de la UNAM i percepció pública
Davant l'allau d'informacions sobre l'incident, la DGTIC de la UNAM va emetre un comunicat en què reconeixia una “intrusió no autoritzada” en els sistemes. Tot i això, el missatge institucional insistia que l'atac hauria afectat únicament cinc dels més de 100.000 sistemes informàtics amb què compta la universitat, una xifra que contrasta amb la magnitud descrita per les filtracions.
La institució va assegurar haver activat immediatament els protocols de seguretat informàtica, el que hauria inclòs la desconnexió preventiva dels sistemes compromesos i la revisió dels serveis afectats. Tot i això, la manca de detalls concrets sobre el tipus de dades exposades i el nombre real de persones afectades ha alimentat la percepció que la resposta oficial podria estar sent massa prudent, si no directament insuficient.
Mentrestant, especialistes en ciberseguretat han insistit en la necessitat que la universitat ofereixi informació clara i transparent a la seva comunitat, incloent recomanacions específiques per a la gestió de contrasenyes, la vigilància de moviments bancaris i la detecció de possibles intents de suplantació. Sense una comunicació precisa, molts usuaris desconeixen encara el grau de risc a què s'enfronten.
En paral·lel, s'han plantejat debats sobre el model de governança tecnològica a la institució, la dotació de recursos humans i econòmics destinada a la seguretat digital i el paper de les autoritats universitàries a l'hora de prioritzar inversions en aquest àmbit, un debat molt similar al que mantenen des de fa anys nombroses universitats a Espanya i la resta d'Europa.
Tot aquest episodi posa sobre la taula la importància de comptar amb equips tècnics estables, ben remunerats i amb marge dactuació, així com amb polítiques d'actualització contínua i auditories independents, elements que, quan fallen, poden obrir la porta a incidents de gran importància com el que actualment sacseja la UNAM.
El cas deixa una estela d'incògnites sobre el veritable abast del ciberatac massiu, la quantitat de dades que ja han pogut circular per fòrums de ciberdelinqüència i la capacitat real de la universitat per restaurar la confiança de la seva comunitat. Si alguna cosa sembla clara avui és que la institució haurà de reforçar de forma profunda la seva estratègia de ciberseguretat i la seva comunicació amb estudiants i personal, en un context internacional en què les universitats, tant a Amèrica Llatina com a Europa, han esdevingut un objectiu prioritari per als atacants digitals.
