AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ciberataque masivo a la Universidad de Columbia expone datos personales, financieros y de salud de 870.000 usuarios**

admin

### Introducción

Un reciente incidente de ciberseguridad ha sacudido a la Universidad de Columbia, una de las instituciones académicas más prestigiosas de Estados Unidos, tras la detección de una brecha en sus sistemas que ha resultado en el robo de información confidencial de cerca de 870.000 estudiantes, exalumnos y empleados. Este ataque, perpetrado en mayo de 2024, pone de manifiesto la creciente sofisticación de los actores de amenazas y la urgente necesidad de reforzar la protección de los datos sensibles en el sector educativo, especialmente en el actual contexto normativo y de amenazas globales.

### Contexto del Incidente

El ataque fue detectado en la primera semana de mayo de 2024, cuando los sistemas de monitorización de la universidad identificaron un acceso no autorizado y movimientos laterales inusuales en la red corporativa. Según la información preliminar, el actor de amenazas, aún no identificado ni atribuido formalmente a ningún grupo conocido, logró acceder a bases de datos que almacenaban información personal, financiera y sanitaria de actuales y antiguos miembros de la universidad. El incidente afecta tanto a estudiantes activos como a empleados y antiguos integrantes, ampliando considerablemente el impacto potencial del ataque.

Columbia University, como entidad educativa y de investigación, almacena una cantidad significativa de datos especialmente sensibles, lo que la convierte en un objetivo atractivo para actores motivados tanto por el beneficio económico como por el espionaje académico o de propiedad intelectual.

### Detalles Técnicos

Aunque la investigación forense interna continúa, fuentes cercanas a la respuesta al incidente han confirmado la explotación de una vulnerabilidad no parcheada en uno de los sistemas de gestión de identidad de la universidad. Si bien no se ha hecho pública la CVE específica, las primeras evidencias apuntan a una vulnerabilidad de escalada de privilegios en una versión desactualizada de Microsoft Active Directory, potencialmente relacionada con una cadena de exploits similar a la CVE-2023-23397, utilizada recientemente para la extracción de credenciales NTLMv2.

Tras el acceso inicial, el atacante habría empleado técnicas de movimiento lateral (TTPs asociadas a la matriz MITRE ATT&CK, como T1075: Pass the Hash y T1021: Remote Services), así como herramientas automatizadas para la exfiltración de datos. Se han detectado trazas de uso de frameworks como Cobalt Strike para el establecimiento de persistencia y control remoto, y exfiltración a través de canales cifrados TLS hacia servidores de comando y control alojados fuera de Estados Unidos.

Entre los Indicadores de Compromiso (IoC) identificados se encuentran:
– Comunicaciones a dominios recién registrados en TLDs poco habituales (.xyz, .top).
– Ficheros de registro modificados y presencia de binarios ofuscados en directorios temporales.
– Hashes de archivos relacionados con Cobalt Strike Beacon y scripts PowerShell de recolección de datos.

### Impacto y Riesgos

El alcance del incidente es considerable: 870.000 registros comprometidos incluyen nombres completos, números de la Seguridad Social, direcciones, información financiera (cuentas bancarias para nóminas, datos de becas y pagos) e historiales médicos vinculados a los servicios de salud universitarios.

Los riesgos asociados a esta filtración son múltiples:
– **Fraude financiero y bancario:** Uso de datos para suplantación de identidad y apertura de cuentas fraudulentas.
– **Extorsión y chantaje:** Exposición de información sanitaria sensible.
– **Ataques de spear-phishing dirigidos:** Contra la comunidad universitaria y sus contactos.
– **Cumplimiento normativo:** Potenciales sanciones bajo la GDPR, NIS2 y legislación estadounidense (FERPA, HIPAA), dada la naturaleza y volumen de los datos afectados.

El coste económico directo estimado, considerando notificación, monitorización de crédito y posibles litigios, podría superar los 20 millones de dólares, sin contar daños reputacionales y pérdida de confianza institucional.

### Medidas de Mitigación y Recomendaciones

La universidad ha iniciado una serie de acciones inmediatas:
– Rotación urgente de credenciales y limitación de privilegios en todos los sistemas afectados.
– Despliegue masivo de actualizaciones de seguridad y revisión exhaustiva de logs.
– Restablecimiento de la imagen de los sistemas críticos y uso de EDR para monitorización continua.
– Ofrecimiento de servicios de monitorización de crédito y protección contra robo de identidad a los afectados.

Para el sector educativo y organizaciones con perfiles similares se recomienda:
– Parcheo inmediato de vulnerabilidades conocidas en sistemas de autenticación e identidad.
– Segmentación de red y aplicación de controles de acceso basados en el principio de menor privilegio.
– Implantación de autenticación multifactor (MFA) en todos los accesos externos e internos.
– Simulaciones periódicas de ataques (red teaming, pentesting) para detectar vectores de ataque explotables.
– Concienciación y formación continua al personal sobre ingeniería social y buenas prácticas de ciberseguridad.

### Opinión de Expertos

Analistas de seguridad consultados destacan que este caso ilustra la falta de madurez en la gestión de identidades y la protección de datos sensibles en muchas instituciones educativas, a menudo rezagadas en inversión en ciberseguridad respecto a otros sectores críticos. “La adopción masiva del teletrabajo y la interconexión con sistemas de salud y financieros han aumentado la superficie de ataque, y los adversarios lo saben”, apunta un CISO de una universidad europea.

El uso de herramientas post-explotación como Cobalt Strike y la explotación de vulnerabilidades en Active Directory siguen siendo el patrón dominante en ataques a gran escala, según el último informe de Mandiant y las tendencias observadas por los equipos de respuesta a incidentes.

### Implicaciones para Empresas y Usuarios

Este incidente refuerza la importancia de una gestión proactiva de vulnerabilidades y de un enfoque Zero Trust en la administración de identidades. Para las empresas que colaboran con universidades o gestionan datos académicos, la obligación de cumplimiento bajo GDPR y NIS2 exige una gestión y reporte riguroso de incidentes, así como la notificación a las autoridades nacionales de protección de datos en menos de 72 horas.

Los usuarios, especialmente estudiantes y empleados, deben extremar las precauciones ante potenciales campañas de phishing y monitorizar posibles usos indebidos de su identidad.

### Conclusiones

El ciberataque a la Universidad de Columbia es un serio recordatorio del valor que los datos educativos, financieros y de salud tienen para los actores de amenazas, y de la importancia estratégica de la ciberseguridad en el sector universitario. La rápida detección y respuesta es crucial, pero la prevención, la formación y la inversión continua en tecnologías de protección siguen siendo el mejor escudo frente a una amenaza en constante evolución.

(Fuente: www.bleepingcomputer.com)