La Narodowy Uniwersytet Meksyku staje twarzą w twarz z jednym z najgorsze kryzysy cyberbezpieczeństwo swojej historii po potwierdzeniu masowy atak cybernetyczny co ujawniłoby poufne informacje o dużej części społeczności. Incydent, zarejestrowany między 31 grudnia i 1 styczniaPoddało to w wątpliwość systemy ochrony tej instytucji i jej zdolność do reagowania na zagrożenia tej skali.
Źródła uniwersyteckie i specjaliści ds. bezpieczeństwa cyfrowego zgadzają się, że atak dotknął nie tylko e-maile instytucjonalne i prywatne, ale także dane osobowe, akademickie i finansowe studentów, pracowników i kadry kierowniczej. Chociaż uniwersytet starał się umniejszać zakresDowody techniczne i przecieki wskazują na znacznie poważniejszy scenariusz, niż wynika z oficjalnych oświadczeń.
Skoordynowany atak w połowie roku przejściowego
W nocy z 31 grudnia na 1 stycznia rano, Dyrekcja Generalna Informatyki i Technologii Informacyjno-Komunikacyjnych (DGTIC) Utraciła kontrolę operacyjną nad kilkoma swoimi serwerami na co najmniej Godziny 18W tym czasie atakujący mogli poruszać się z dużą swobodą po infrastrukturze technologicznej uniwersytetu.
Według rekonstrukcji przeprowadzonej przez ekspertów i dziennikarzy branżowych atak początkowo koncentrował się na systemach Sekretariat Rozwoju Instytucjonalnego (SDI)Pierwszym widocznym znakiem było pojawienie się obraz czaszki na stronie internetowej tej agencji znajduje się klasyczny gest niektórych grup cyberprzestępców, polegający na pozostawieniu informacji o włamaniu i przy okazji opublikowaniu publicznego ostrzeżenia.
Dziennikarz zajmujący się sprawami cyfrowymi Ignacio Gómez Villaseñor miał dostęp do wewnętrznych dokumentów i dowodów technicznych potwierdzających, że grupa zidentyfikowana jako „ByteToBreach” Udało mu się zinfiltrować serwery UNAM. Jego analiza kryminalistyczna plików sugeruje, że operacja nie była odosobnionym incydentem, lecz kulminacją serii wcześniejszych włamań.
Według tego śledztwa, masowy atak mógł narazić na ryzyko co najmniej 200 komunikatów lub e-maili z Biura Rektora i e-maile od ponad 300 000 członków społeczności uniwersyteckiejPonadto istnieją różne repozytoria danych zawierające szczególnie wrażliwe informacje, z których wiele jest powiązanych z usługami administracyjnymi i finansowymi.
Dane osobowe, akademickie i finansowe w centrum uwagi
Zagrożone informacje obejmowałyby bardzo szeroki zakres dane osobowe i akademickie, od podstawowych elementów identyfikacyjnych po wewnętrzną dokumentację wysokiego poziomu. Raporty wewnętrzne wskazują, że ujawniony materiał obejmowałby numery kont, rejestracje uniwersyteckie, potwierdzenia przelewów bankowych i fakturyoraz zaszyfrowane hasła powiązane z kontami instytucjonalnymi.
Napastnicy uzyskaliby dostęp do prywatne i instytucjonalne e-maile studentów, pracowników naukowych, personelu administracyjnego i kadry zarządzającej, która według przecieków obejmuje: poufna komunikacja wysokich rangą urzędników z uniwersytetu i wiadomości płynące z Biuro RektoraTa warstwa informacji jest szczególnie wrażliwa, gdyż potencjalnie zawiera wewnętrzne decyzje, dyskusje strategiczne i dokumentację zarządzania uniwersytetem.
Wśród plików, które miały zostać ujawnione, wymieniono również dokumenty administracyjne i potwierdzenia płatnościoraz rekordy powiązane z usługi zarządzania fakturowaniem i rejestracjąBiorąc pod uwagę ogromną ilość informacji, społeczność uniwersytecka obawia się, że część tych danych może zostać wykorzystana do oszustwa finansowe, kradzież tożsamości lub wymuszenia.
Według dostępnych analiz skala wycieku może mieć wpływ na ponad 380 000 studentów i pracowników naukowychliczba, która uczyniłaby ten incydent jednym z Najpoważniejsze ataki hakerskie na placówkę edukacyjną w Meksyku i, co za tym idzie, w Ameryce Łacińskiej, co stawia go na równi z innymi poważnymi atakami, które dotknęły europejskie i hiszpańskie uniwersytety w ostatnich latach.
Pęknięcie techniczne: luka w zabezpieczeniach CVE-2025-66478 i błąd konserwacji
Na poziomie technicznym raporty wskazują, że atak wykorzystał luka skatalogowana jako CVE-2025-66478, związany z serwery oparte na Next.jsTa słabość pozostałaby nierozwiązana w kluczowym okresie, zbiegającym się z etapem Niepewność zatrudnienia i opóźnienia administracyjne w zespole odpowiedzialnym za rozwój i utrzymanie systemów.
Sam Gómez Villaseñor wiąże powodzenie ataku z wewnętrznym kontekstem uniwersytetu. pismo z dnia 19 września 2025 r., podpisane przez członków Koordynacja Projektów Technologicznych (CPTI)potępił to, Inżynierowie i programiści przez miesiące nie otrzymywali wynagrodzenia. ich opłaty z powodu „procesów audytu”, co wywołało klimat protestu i niepewności w obszarze technologii.
Ten scenariusz w połączeniu z codzienną presją na usługi cyfrowe utrudniłby szybkie wdrożenie poprawki zabezpieczeń i krytyczne zadania konserwacyjneLuka CVE-2025-66478 pozostała zatem aktywna wystarczająco długo, aby atakujący mogli ją wykorzystać stosunkowo łatwo, otwierając furtkę do głównych systemów.
Oprócz słabości serwerów Next.js cyberprzestępcy mogliby naruszyć bezpieczeństwo Balansery obciążenia F5 BIG-IPSą to kluczowe elementy zarządzania ruchem sieciowym. Przejmując kontrolę nad tym sprzętem, byli w stanie przekierowywać połączenia, przechwytywać informacje i ułatwiać ruch boczny w obrębie infrastruktury, zwiększając tym samym zasięg włamań.
Metody używane przez grupę ByteToBreach
Zebrane dowody techniczne opisują wyrafinowany łańcuch ataków które łączyły kilka technik znanych już w dziedzinie cyberbezpieczeństwa. Z jednej strony miałyby one wykorzystywać ujawniono prywatne klucze SSH W przypadku sprzętu uniwersyteckiego jest to ryzykowna praktyka, która jeśli nie będzie odpowiednio zarządzana, umożliwi bezpośredni dostęp do wewnętrznych serwerów z bardzo niewielką liczbą barier.
Po dostaniu się do środka grupa musiała wspiąć się po szczeblach kariery, aby uzyskać dostęp. Korzeń al Katalog LDAP, serce systemu uwierzytelniania i zarządzania tożsamością instytucji. Dzięki takiemu poziomowi kontroli możliwe jest zapytania, modyfikacje i ekstrakcje rekordów zbiorczo użytkowników, co wyjaśniałoby skalę wycieku zaszyfrowane tablice rejestracyjne, e-maile i hasła.
Fakt, że atakujący opublikował szczegółowy opis działań podjętych w celu włamania się do systemów, nie jest przypadkiem. Jak wyjaśnił Gómez Villaseñor, wiele grup decyduje się na upublicznienie tych informacji, aby... aby chronić się przed potencjalnymi odmowami instytucjonalne i wykazać za pomocą dowodów technicznych, że ingerencja była rzeczywista i miała daleko idące skutki.
Praktyka ta, choć stwarza dodatkowe ryzyko poprzez rozprzestrzenianie wektorów ataku, ujawnia również, w jakim stopniu zagrożone systemy mogą wykazywać słabe konfiguracje, źle zarządzane poświadczenia lub niezastosowane poprawki, katalog problemów, który nie jest obcy innym europejskim i hiszpańskim uniwersytetom, które ostatnio ucierpiały z powodu takich incydentów.
Tło: nieautoryzowany dostęp od marca 2025 r.
Cyberatak pod koniec roku nie wydarzył się w próżni. oficjalna komunikacja od Głównego Radcy Prawnego UNAM potwierdza, że 13 marca 2025 Pierwszy już został wykryty „nieautoryzowany dostęp” do systemów Sekretariat Rozwoju InstytucjonalnegoW tym czasie uniwersytet przedstawił skarga do Prokuratury Generalnej (FGR), oficjalnie informując władze o początkowym naruszeniu.
Jednakże ewolucja tej procedury nie następowała zbyt szybko. Sierpień 2025Biuro Prokuratora Generalnego (FGR) rzekomo zażądało dodatkowych informacji od jednostki administracyjnej SDI, ostrzegając, że jeśli wymagane dane nie zostaną dostarczone, sprawa może zostać zamknięta. Według cytowanych dokumentów, uniwersytet nie przesłał wszystkich żądanych informacji, częściowo z powodu braku zespołu technicznego. Pracowałem pod presją i w bardzo napiętych warunkach..
Te precedensy są dodatkiem do innych poważnych naruszeń odnotowanych w 2024 r.co już wywołało alarm dotyczący rzeczywistego stanu cyberbezpieczeństwa instytucjonalnego. Najnowszy atak, bardziej widoczny i masowy, nie byłby zatem odosobnionym przypadkiem, lecz kulminacją łańcuch incydentów co nie zostałoby potraktowane z należytą stanowczością.
Gómez Villaseñor utrzymuje, że napastnikowi udało się nawet ustalić trwałość w systemachTo znaczy zdolność do pozostania w ukryciu i odzyskania kontroli w przyszłości, nawet po reaktywnych działaniach porządkowych. Gdyby to się potwierdziło, uniwersytet byłby zmuszony… dokładnie przejrzeć całą swoją infrastrukturę, coś złożonego i kosztownego pod względem czasu i zasobów.
Publikowanie i sprzedaż skradzionych informacji
Po zabezpieczeniu dostępu i wyodrębnieniu danych kolejnym krokiem dla grupy atakującej byłoby monetyzacja informacjiWedług przecieków haker znany jako ByteToBreach opublikował część bazy danych UNAM w międzynarodowe forum cyberprzestępczości, pod tytułem:
Bazy danych uniwersyteckich UNAM
Tego typu reklamy są zwykle kierowane do sieci społecznościowych. cyberprzestępcy zainteresowani kupnem pakietów danych do różnych nielegalnych celów: od masowych kampanii phishingowych po próby oszustw finansowych i kradzieży tożsamości. Fakt, że reklama wyraźnie nawiązuje do dużego uniwersytetu, zwiększa jej wartość na tych podziemnych rynkach.
Potencjalne szkody nie ograniczają się do Meksyku. Bazy danych tego typu mogą być wykorzystywane do ataki na firmy i organizacje w innych krajachDotyczy to Europy i Hiszpanii, gdzie wykorzystuje się ponownie używane adresy e-mail, hasła współdzielone między usługami oraz dane bankowe powiązane z transakcjami międzynarodowymi. Z tego powodu incydenty takie jak ten w UNAM są ściśle monitorowane przez europejską społeczność zajmującą się cyberbezpieczeństwem.
Do najbardziej niepokojących zagrożeń należą możliwe oszukańcze wykorzystanie danych osobowych i finansowych, stworzenie szczegółowe profile studentów i badaczy do kampanii socjotechnicznych i wykorzystywania danych jako karty przetargowej w negocjacjach między grupami przestępczymi. Wszystko to zwiększa powierzchnię narażenia, nie tylko dla uniwersytetu, ale dla każdego podmiotu utrzymującego relacje z członkami swojej społeczności.
Wrażliwe dokumenty wewnętrzne i dodatkowe kontrowersje
Atak nie ograniczył się do wyłudzenia danych osobowych. Wśród ujawnionych plików znajdowały się również dokumenty wewnętrzne Koordynacji Powiązań i Transferu Technologii (CVTT), odpowiedzialny za zarządzanie patentami i projektami innowacyjnymi na uniwersytecie.
Według ujawnionych informacji do 2025 roku UNAM będzie nagrodzony za patent związany z regeneracją zębów, chociaż to już było zgłoszono jako plagiat w czerwcu 2024 r.Pojawienie się tych dokumentów w kontekście cyberataku dodaje wymiar reputacyjny do incydentu, podejmując potencjalnie kontrowersyjne decyzje wewnętrzne.
Wyciek tego typu wewnętrznych plików pokazuje, w jakim stopniu atakujący byli w stanie uzyskać do nich dostęp repozytoria dokumentów wrażliwychwykraczające poza proste bazy danych operacyjnych. Pełne upowszechnienie materiału mogłoby wywołać nowe kontrowersje, dotykające zarówno administrację centralną, jak i poszczególne grupy badawcze.
Tego typu skutki uboczne zaobserwowano już w innych przypadkach, które miały miejsce na uniwersytetach europejskich, gdzie naruszenia bezpieczeństwa Ujawniono poufne raporty, projekty umów i dokumenty związane z własnością intelektualną, co wywołało efekt domina wykraczający poza problem ściśle techniczny.
Oficjalna odpowiedź UNAM i odbiór społeczny
W obliczu lawiny informacji o zdarzeniu, DGTIC UNAM Wydało oświadczenie, w którym przyznało, że „nieautoryzowane wtargnięcie” w ich systemach. Jednak oficjalny komunikat podkreślał, że atak miał dotyczyło tylko pięciu z ponad 100 000 systemów komputerowych jaką dysponuje uniwersytet, co stanowi wartość kontrastującą z wielkością opisaną w przeciekach.
Instytucja twierdziła, że natychmiast uruchomiła protokoły bezpieczeństwa komputerowegoktóry obejmowałby zapobiegawcze wyłączanie zagrożonych systemów oraz przegląd usług, których dotyczył incydent. Jednak brak konkretnych informacji na temat rodzaju ujawnionych danych i faktycznej liczby osób, których dotyczył incydent, wzmocnił przekonanie, że oficjalna reakcja może być przesadnie ostrożna, jeśli nie wręcz niewystarczająca.
Tymczasem specjaliści ds. cyberbezpieczeństwa podkreślają konieczność zapewnienia przez uniwersytet jasne i przejrzyste informacje do swojej społeczności, w tym konkretne zalecenia dotyczące zarządzanie hasłami, monitorowanie transakcji bankowych oraz wykrywanie potencjalnych prób podszywania się. Bez jasnej komunikacji wielu użytkowników wciąż nie zdaje sobie sprawy z poziomu ryzyka, na jakie są narażeni.
Równolegle toczyły się debaty na temat modelu zarządzanie technologiczne w obrębie instytucji, alokacja zasobów ludzkich i finansowych na bezpieczeństwo cyfrowe oraz rola władz uczelni w tym zakresie priorytetowo traktować inwestycje w tym obszarze, debata bardzo podobna do tej, którą od lat toczą liczne uniwersytety w Hiszpanii i innych krajach europejskich.
Cały ten odcinek podkreśla znaczenie posiadania stabilne, dobrze opłacane zespoły techniczne z możliwością manewrujak również dzięki ciągłej aktualizacji zasad i niezależnym audytom, czyli elementom, których zawiódłszy, może doprowadzić do poważnych incydentów, takich jak ten, który obecnie wstrząsa UNAM.
Sprawa pozostawia za sobą ciąg pytań bez odpowiedzi na temat rzeczywistego zakresu masowy atak cybernetycznyIlość danych, które już krążyły na forach cyberprzestępczości, oraz faktyczna zdolność uniwersytetu do odbudowania zaufania społeczności. Jeśli cokolwiek wydaje się dziś jasne, to to, że instytucja będzie musiała znacząco wzmocnić swoją strategia cyberbezpieczeństwa oraz ich komunikacji ze studentami i pracownikami, w kontekście międzynarodowym, w którym uniwersytety, zarówno w Ameryce Łacińskiej, jak i w Europie, stały się priorytetowym celem ataków cyfrowych.
