Ciberataque a la UNAM: ¿se filtraron correos, contraseñas y datos bancarios?, qué dice la Universidad, cómo operaron los hackers y qué recomendaciones hay para la comunidad

La Universidad Nacional Autónoma de México (UNAM) confirmó que fue víctima de un ciberataque ocurrido entre el 31 de diciembre y el 1 de enero, un incidente que derivó en la exposición de correos electrónicos privados y datos sensibles de estudiantes, académicos y trabajadores.

El hecho activó protocolos de seguridad, generó una denuncia ante la Fiscalía General de la República (FGR) y abrió un debate sobre la protección de la información en una de las instituciones educativas más grandes del país.Fuente: información oficial de la UNAM y reportes del periodista especializado en temas digitales Ignacio Gómez Villaseñor, difundidos en su cuenta de X.

¿Qué pasó en la UNAM y por qué es relevante?

Durante el periodo vacacional de fin de año, la Dirección General de Cómputo y de Tecnologías de Información y Comunicación (DGTIC) perdió por 18 horas el control de servidores clave. De acuerdo con la Universidad, se trató de una intrusión no autorizada que afectó cinco de los más de cien mil sistemas informáticos que conforman su infraestructura digital.

México

Banxico lanza alerta por ciberataques, advierte que un ataque exitoso a un banco clave podría detener servicios financieros y provocar un golpe económico y de confianza en México

El impacto del ataque no se limitó a una interrupción técnica. Los reportes señalan la posible exposición de comprobantes de transferencias bancarias, contraseñas, números de cuenta, facturas y comunicaciones internas, incluidos correos confidenciales de altos funcionarios.

¿Qué información habría quedado expuesta?

Según los reportes difundidos por Gómez Villaseñor, los atacantes lograron acceder con privilegios de administrador (Root) al directorio LDAP, lo que permitió exponer matrículas, correos electrónicos y contraseñas cifradas de más de 380 mil alumnos y académicos.

El periodista indicó que “la intrusión permitió a los atacantes leer correos electrónicos confidenciales de altos funcionarios, incluyendo comunicaciones directas de la Oficina del Rector”. Esta afirmación forma parte de los señalamientos públicos sobre el alcance del ataque.

¿Cómo ocurrió el ciberataque?

La secuencia del ataque, de acuerdo con los reportes técnicos, comenzó con la comprometida visual del sitio web de la SDI, donde apareció la imagen de una calavera. Posteriormente, los atacantes tomaron control del tráfico de red al comprometer balanceadores de carga F5 BIG-IP mediante llaves SSH privadas que habrían quedado expuestas en equipos de la UNAM.

El responsable del ataque se identificó como “ByteToBreach”, quien, según Gómez Villaseñor, accedió a los sistemas universitarios y publicó información relacionada en un foro internacional de ciberdelincuencia, bajo el título “[SELLING] [MX] UNAM University Databases”.

El antecedente clave: un “acceso ilícito” detectado en marzo de 2025

El caso no surgió de la nada. Ignacio Gómez Villaseñor dio a conocer que un oficio de la Abogacía General confirmó que el 13 de marzo de 2025 se detectó un primer “acceso ilícito” a los sistemas de la SDI. Ante ello, la UNAM presentó una denuncia formal ante la FGR.

Este antecedente es relevante porque sugiere que los sistemas ya habían sido vulnerados meses antes del ataque masivo de fin de año.

Te puede interesar: Hackers filtran 40 GB de documentos de la Secretaría de Hacienda de Sonora y amenazan con atacar a más estados y al SAT

Trabajo bajo protesta y vulnerabilidades técnicas

Mientras la FGR solicitaba información, el personal encargado de tecnología enfrentaba problemas internos. Una carta fechada el 19 de septiembre de 2025, firmada por trabajadores de la Coordinación de Proyectos Tecnológicos (CPTI), reveló que ingenieros y desarrolladores pasaron meses sin cobrar honorarios debido a procesos de auditoría.

México

Banxico lanza alerta por ciberataques, advierte que un ataque exitoso a un banco clave podría detener servicios financieros y provocar un golpe económico y de confianza en México

En ese mismo contexto, se señaló que “la vulnerabilidad que permitió el hackeo masivo a finales de año (CVE-2025-66478 en servidores Next.js) coincide con el periodo en que el personal técnico operaba con incertidumbre laboral”. Este punto ha sido citado como un factor que pudo influir en la capacidad de respuesta y mantenimiento de los sistemas.

Documentos internos y otros efectos del hackeo

El ataque también expuso documentos de la Coordinación de Vinculación (CVTT). Entre ellos, información que indica que la UNAM premió en 2025 una patente sobre regeneración dental, la cual había sido denunciada como plagio desde junio de 2024. Estos archivos forman parte de los materiales que, según los reportes, quedaron al alcance de los atacantes.

¿Qué respondió la UNAM?

La DGTIC reconoció la intrusión y precisó que el incidente ocurrió solo en cinco sistemas. La Universidad informó que activó de inmediato los protocolos institucionales de atención a incidentes de seguridad informática, lo que incluyó la inhabilitación preventiva de los sistemas comprometidos.

La institución subrayó que el resto de su infraestructura continuó operando y que se mantienen las investigaciones internas y legales para determinar responsabilidades y alcances reales.

¿Qué debe saber la comunidad universitaria?

Para estudiantes, académicos y trabajadores, este caso subraya la importancia de cambiar contraseñas, revisar movimientos financieros y mantenerse atentos a comunicados oficiales de la UNAM. La Universidad no ha confirmado públicamente el uso indebido de datos personales, pero sí reconoció la intrusión y la activación de medidas de contención.

El seguimiento del caso dependerá de las investigaciones de la FGR, los resultados de las auditorías técnicas y la transparencia con la que se informe a la comunidad sobre los riesgos y acciones correctivas.