El hackeo de la UNAM evidencia la falta de ciberseguridad en universidades

La UNAM, en un primer análisis técnico, aseguró que no hay indicios de extracción de información de los sistemas que resguardan datos personales del alumnado o del personal académico y administrativo, pero el suceso mantiene en alerta al sector académico.

Este incidente además evidencia un problema estructural en la ciberdefensa de instituciones académicas que ya sea públicas o privadas, mantienen un rezago ante este tipo de eventos.

La educación superior, tanto en México como en el resto del mundo, es un objetivo persistente para ciberdelincuentes por la cantidad y variedad de información que alberga, que vas desde datos de estudiantes y docentes hasta investigación estratégica y propiedad intelectual.

“Las organizaciones educativas reciben más de 4,000 ataques semanales por institución, una cifra que supera ampliamente los promedios globales de otros sectores productivos”, señaló Mohammed Khalil, arquitecto de ciberseguridad en DeepStrike, una empresa de ciberseguridad.

Estudios internacionales, como el hecho por el gobierno del Reino Unido, señalan que 30% de las instituciones de ese país han tenido vulneraciones y Khalil argumenta que las razones son la riqueza de datos y una mezcla de menor concienciación sobre riesgo cibernético y brechas de protección comparado con otros sectores.

El caso de la UNAM cobra todavía más relevancia si se compara con prácticas competitivas de otras universidades globales para proteger su infraestructura. La Universidad de Okayama, por ejemplo, ha fortalecido desde hace años su Centro de Tecnologías de la Información y Gestión y su equipo de respuesta ante incidentes (CSIRT), con soluciones modernas de prevención de intrusiones y gestión de amenazas, para asegurar la continuidad de la investigación y el acceso seguro de estudiantes y personal a servicios académicos.

El valor de la información y el negocio de la vulnerabilidad

Si bien en este caso la UNAM ha minimizado la posibilidad de que datos personales hayan salido de sus sistemas, medios especializados reportaron que correos electrónicos privados, comprobantes de transferencias, contraseñas y números de cuenta se habrían visto expuestos en algunos de los sistemas afectados y que parte de esa información comenzó a circular en foros de filtraciones.

Por ejemplo, el reportero especializado en ciberseguridad, Ignacio Gómez Villaseñor, señaló que la institución ha tenido este problema persistente desde marzo de 2025. Y que el riesgo, incluso ante posibilidades mínimas de exfiltración, es que este tipo de eventos creen mercados secundarios de datos que empresas, instituciones y empleadores deben contemplar en su gestión de riesgos.

Desde una perspectiva de negocios, el hackeo revela dos temas críticos. Primero, que la falta de inversiones sostenidas en ciberseguridad en universidades puede traducirse en costos ocultos para la colaboración con empresas, sobre todo en institutos que trabajen con industria privada para el desarrollo de patentes.

Segundo, que el mercado de soluciones de ciberseguridad educativo se vuelve más atractivo.

Khalil señala que el costo de brechas de datos en la educación coloca la cifra promedio global en millones de dólares por incidente, tomando en cuenta no solo la respuesta técnica, sino la interrupción de operaciones, la pérdida reputacional y los gastos colaterales de mitigación.

Una ecuación a resolver

La necesidad de fomentar una cultura de ciberseguridad, alineada con las mejores prácticas globales es imperativo cuando se considera que las instituciones de educación superior no solo forman talento, sino que generan investigación crítica, datos estratégicos y plataformas de colaboración con gobiernos y empresas.

Para los actores del sector privado, el hackeo universitario plantea una reflexión sobre cómo gestionar el riesgo compartido en alianzas de investigación o transferencia de tecnología. Empresas que participan en proyectos conjuntos con universidades ahora deben evaluar la resiliencia digital de sus contrapartes como parte de sus estrategias de mitigación.

“Esto puede traducirse en nuevas exigencias contractuales, seguros de riesgo cibernético, auditorías periódicas de sistemas o incluso el establecimiento de estándares comunes de protección de datos”, señaló Khalil.

En un estudio de 2023, la Asociación Nacional de Universidades e Instituciones de Educación Superior señaló que 36% de las universidades no cuenta con un sistema de gestión de datos personales, lo que las hace particularmente vulnerables a ataques cibernéticos. Las razones principales que identificó para la falta de una estrategia adecuada de ciberseguridad incluyen insuficiencia de presupuesto, en un 18% y falta de personal capacitado en un 17%.