La Universidad de Harvard confirmó haber sido víctima de un ciberataque ocurrido el 18 de noviembre, a través de una modalidad conocida como phishing telefónico o vishing. La intrusión afectó una base de datos que contenía información personal de alumnos, exalumnos, profesores y donantes, incluyendo datos de contacto y detalles sobre contribuciones económicas.
“Actuamos de manera inmediata para eliminar el acceso del atacante a nuestros sistemas e impedir nuevas intrusiones”, afirmó Tim Bailey, director de comunicaciones de Harvard University Information Technology, en declaraciones recogidas por Infobae América.
Este episodio se inscribe en una serie de incidentes recientes que afectaron a otras universidades de la Ivy League.
Según el comunicado oficial de Harvard, las bases afectadas estaban vinculadas a actividades de desarrollo institucional y relaciones con exalumnos. La universidad indicó que este tipo de amenazas son persistentes, especialmente en organizaciones con alta capacidad de recaudación de fondos.
Una técnica basada en el engaño verbal
El phishing telefónico, o vishing, es un método de ingeniería social que utiliza llamadas fraudulentas para engañar a las personas y obtener información sensible. A diferencia del phishing tradicional vía correo electrónico, el vishing se apoya en la interacción verbal y puede incluir técnicas de suplantación de identidad y manipulación del identificador de llamadas (spoofing).
Los atacantes suelen crear escenarios de urgencia para inducir a las víctimas a revelar contraseñas, códigos de verificación u otros datos críticos. Según explicó la propia universidad, este tipo de ataques representa una amenaza constante y requiere atención permanente.
El rol de las personas en la ciberseguridad
De acuerdo con un informe publicado en octubre por el Foro Económico Mundial, el 95% de las violaciones de seguridad digital durante el año estuvieron relacionadas con errores humanos. El documento subraya que, si bien las tecnologías como firewalls, inteligencia artificial o sistemas de detección avanzada son fundamentales, no resultan eficaces sin una capacitación adecuada de los usuarios.
“El objetivo de la formación en ciberseguridad debe ser cerrar la brecha entre los especialistas y el resto de los empleados de una organización”, indica el informe.
También se remarca que el uso responsable de la tecnología requiere incorporar habilidades críticas como razonamiento ético, interpretación de outputs y capacidad para detectar manipulaciones.
Asimismo, se señala que la creciente sofisticación de herramientas basadas en inteligencia artificial, como voces generadas por deepfake o mensajes falsos difíciles de distinguir, reduce las barreras de entrada para actores maliciosos. Esto plantea nuevos desafíos para instituciones que manejan datos sensibles y trabajan con grandes volúmenes de información, como las universidades.
Según el Foro Económico Mundial, la ciberseguridad debe ser considerada un bien público. El documento sostiene que enfrentar los riesgos digitales requiere no sólo inversiones tecnológicas, sino también estrategias colaborativas entre gobiernos, universidades, empresas y expertos, así como programas de capacitación continua que alcancen a todos los niveles de una organización.
