La Universidad Complutense, objetivo de phishing dirigido: alumnos reciben correos fraudulentos exigiendo pagos

Introducción

En un nuevo incidente que subraya la creciente sofisticación de las campañas de phishing dirigidas al sector educativo, la Universidad Complutense de Madrid (UCM) ha confirmado la detección de un ciberataque que afectó a una parte de su comunidad estudiantil. El ataque, identificado como una campaña de phishing avanzada, consistió en el envío de correos electrónicos falsificados que imitaban la identidad del servicio de administración universitaria, exigiendo a los alumnos el pago de 1.500 euros bajo pretextos administrativos. La UCM ha iniciado una investigación interna y ha alertado a los organismos competentes para contener el incidente y minimizar su impacto.

Contexto del Incidente

El sector universitario, tradicionalmente considerado un objetivo de bajo perfil para ataques financieros directos, ha experimentado un aumento significativo en la frecuencia y sofisticación de las amenazas en los últimos años. Según el último informe del CCN-CERT sobre ciberamenazas en España, el 18% de los incidentes notificados durante 2023 en el sector público español afectaron a instituciones educativas, con el phishing como vector principal. En el caso de la UCM, el ataque fue detectado tras recibir múltiples reportes de estudiantes que alertaron sobre correos sospechosos que solicitaban pagos inmediatos para evitar supuestas sanciones administrativas.

Detalles Técnicos

Los correos fraudulentos simulaban provenir de direcciones institucionales (spoofing del dominio “@ucm.es”), utilizando técnicas de ingeniería social para aumentar su credibilidad. El asunto y el cuerpo del mensaje imitaban el tono y formato de las comunicaciones oficiales de la universidad, incluyendo logotipos y firmas digitales falsificadas. El texto solicitaba el pago urgente de 1.500 euros mediante transferencia a una cuenta bancaria extranjera, advirtiendo de consecuencias académicas en caso de impago.

Aunque no se ha hecho público un CVE específico ni se han detectado exploits automatizados en esta campaña, los TTPs observados se alinean con las técnicas T1566.001 (Phishing: Spearphishing Attachment) y T1589.002 (Obtain Email Addresses: Spearphishing) del framework MITRE ATT&CK. Los indicadores de compromiso identificados incluyen direcciones IP asociadas a servidores de correo en el extranjero, URLs de phishing registradas en las últimas semanas y cuentas bancarias de titularidad opaca.

Impacto y Riesgos

Aunque el número exacto de afectados no ha sido divulgado, fuentes internas estiman que el alcance podría superar los 2.000 destinatarios potenciales, con un porcentaje de interacción (clics en enlaces o respuestas) superior al 7%, según los logs revisados en el sistema de correo institucional. Hasta la fecha, la universidad no ha confirmado transferencias exitosas, pero advierte de un alto riesgo de pérdida económica directa para los estudiantes, así como de posible recolección de credenciales y datos personales.

El impacto reputacional para la UCM es significativo, especialmente en el contexto de la aplicación del GDPR y la inminente entrada en vigor de la directiva NIS2, que refuerza las obligaciones de notificación y gestión de incidentes para infraestructuras críticas, incluyendo universidades.

Medidas de Mitigación y Recomendaciones

La UCM ha procedido a bloquear los remitentes identificados y a reforzar los filtros antiphishing en sus gateways de correo, implementando reglas específicas para detectar patrones similares. Se ha lanzado una campaña de concienciación urgente entre los estudiantes y el personal, recomendando la verificación de cualquier solicitud de pago recibida por correo electrónico y el uso exclusivo de los canales oficiales para trámites administrativos.

Entre las recomendaciones técnicas para otras instituciones destacan:

– Implementación de DMARC, DKIM y SPF para protección contra spoofing de dominios.
– Monitorización proactiva de logs de correo y SIEM para detectar patrones anómalos.
– Simulaciones periódicas de phishing dirigido (red teaming) para evaluar la resiliencia de la comunidad.
– Establecimiento de mecanismos de doble verificación para cualquier trámite económico sensible.

Opinión de Expertos

Juan Carlos Martínez, analista senior de amenazas en S2 Grupo, subraya: “Este ataque demuestra que los actores de amenazas están invirtiendo en campañas cada vez más personalizadas y creíbles, dirigidas a colectivos con menor experiencia en detección de fraudes. El sector universitario debe priorizar la formación en ciberhigiene y la protección avanzada de su infraestructura de correo”.

Por su parte, Marta Ruiz, CISO de una universidad madrileña, añade: “La inminente entrada en vigor de NIS2 obligará a las universidades a revisar sus planes de gestión de incidentes y a reportar este tipo de ataques con mayor diligencia. La transparencia y la prevención serán clave para mitigar el impacto”.

Implicaciones para Empresas y Usuarios

Este incidente pone de manifiesto la necesidad de que las universidades y otras organizaciones con grandes comunidades digitales adopten un enfoque proactivo en la gestión de riesgos, integrando soluciones de detección y respuesta ante amenazas (EDR/XDR), así como la colaboración con CERTs sectoriales. Para los usuarios finales, la recomendación es clara: desconfíe de cualquier mensaje que solicite información confidencial o pagos urgentes y verifique siempre la autenticidad a través de canales alternativos.

Conclusiones

El ataque de phishing a la Universidad Complutense de Madrid es un recordatorio de la relevancia de la ingeniería social como vector principal de amenazas en el sector educativo. La respuesta rápida y la concienciación son, a día de hoy, las mejores defensas, pero la evolución del panorama normativo y el aumento de la sofisticación de los atacantes exigen una revisión profunda de las estrategias de ciberseguridad en el ámbito universitario.

(Fuente: www.cybersecuritynews.es)