**Universidad Mount Royal confirma robo y eliminación masiva de datos tras ataque de ransomware**
—
### 1. Introducción
La Universidad Mount Royal, con sede en Calgary (Canadá), ha confirmado públicamente que su red interna fue comprometida por actores maliciosos, quienes lograron acceder, exfiltrar y posteriormente eliminar información crítica almacenada en dos unidades de almacenamiento. Este incidente, atribuido a un ataque de ransomware, ha puesto en jaque la seguridad de datos de empleados, estudiantes y la propia infraestructura universitaria, marcando un nuevo episodio en la ya preocupante tendencia de ciberataques dirigidos al sector educativo.
—
### 2. Contexto del Incidente
El ataque salió a la luz a raíz de anomalías detectadas en los sistemas de la universidad, que motivaron la activación de los protocolos de respuesta a incidentes. Según el comunicado oficial, los atacantes no solo cifraron parte de la información, sino que también accedieron y eliminaron dos discos completos que contenían datos personales y académicos. La naturaleza del incidente evidencia una evolución en las tácticas del cibercrimen, que ya no se limita al cifrado de datos, sino que busca maximizar el impacto mediante la exfiltración y destrucción deliberada de información sensible.
Cabe destacar que el sector universitario se ha convertido en objetivo prioritario para grupos de ransomware en 2023 y 2024, debido a la combinación de infraestructuras tecnológicas heterogéneas, recursos limitados para ciberseguridad y la abundancia de datos valiosos conforme a la legislación de protección de datos, como el GDPR y la reciente directiva NIS2.
—
### 3. Detalles Técnicos
Si bien la Universidad Mount Royal no ha publicado detalles exhaustivos, fuentes cercanas a la investigación sugieren que el acceso inicial podría haberse realizado mediante técnicas de phishing dirigidas o la explotación de vulnerabilidades conocidas en servidores expuestos a Internet. No se descarta la utilización de exploits automatizados a través de frameworks como Metasploit o la presencia de herramientas post-explotación como Cobalt Strike, que permiten movimiento lateral y escalada de privilegios dentro de redes Windows Active Directory.
El incidente aún no ha sido vinculado a una variante específica de ransomware, pero las TTP (Tácticas, Técnicas y Procedimientos) observadas son consistentes con las descritas en los informes MITRE ATT&CK, concretamente:
– **Initial Access**: Spear phishing o explotación de RCE (T1566, T1190).
– **Privilege Escalation**: Abuso de credenciales y herramientas de administración (T1078).
– **Defense Evasion**: Desactivación de antivirus y logs (T1562).
– **Impact**: Data Encrypted for Impact (T1486) y Data Destruction (T1485).
Los Indicadores de Compromiso (IoC) preliminares incluyen direcciones IP externas asociadas a infraestructura de C2 (Command & Control), hashes de ejecutables maliciosos y patrones de tráfico anómalos detectados en los logs de firewall.
—
### 4. Impacto y Riesgos
La magnitud del incidente es significativa: la eliminación de dos discos implica la pérdida potencial de gigabytes o terabytes de información, afectando registros académicos, nóminas, información financiera y datos personales protegidos por la ley. Esto expone a la universidad a sanciones administrativas bajo GDPR si hay ciudadanos europeos afectados, y vulnera los principios de la NIS2 en cuanto a resiliencia y notificación de incidentes.
El riesgo de filtración y venta de datos en mercados clandestinos es elevado, con consecuencias que van desde el fraude de identidad hasta ataques dirigidos de spear phishing o extorsión. Además, la destrucción deliberada de información puede interrumpir operaciones críticas, afectar la reputación institucional y derivar en reclamaciones legales por parte de los afectados.
—
### 5. Medidas de Mitigación y Recomendaciones
Ante este tipo de amenazas, los expertos recomiendan:
– **Segmentación de red** y restricción de privilegios para minimizar el movimiento lateral.
– **Actualización urgente** de todos los sistemas y aplicaciones, prestando especial atención a servidores expuestos y software de acceso remoto (VPN, RDP).
– **Implementación de soluciones EDR/XDR** para detección y respuesta ante amenazas avanzadas.
– **Cifrado de datos en reposo y en tránsito**, junto a copias de seguridad fuera de línea y pruebas regulares de restauración.
– **Campañas de concienciación** y simulacros de phishing para todo el personal y alumnado.
– **Monitorización de logs** y correlación de eventos mediante SIEM, con alertas para patrones TTP del framework MITRE ATT&CK.
—
### 6. Opinión de Expertos
Varios analistas de ciberseguridad, como los consultores de KPMG y S21sec, señalan que este incidente evidencia la necesidad de una estrategia de Zero Trust y la revisión periódica de políticas de backup. “El doble impacto de exfiltración y destrucción de datos es una tendencia cada vez más común entre grupos como BlackCat o LockBit”, explica Laura Martín, CISO en una universidad madrileña, quien añade que “la resiliencia ante ransomware pasa necesariamente por la preparación previa y la colaboración con CERTs nacionales”.
—
### 7. Implicaciones para Empresas y Usuarios
Las universidades, igual que cualquier organización con datos personales sensibles, deben considerar la ciberseguridad como un pilar estratégico. Este caso refuerza la importancia de cumplir con GDPR y NIS2, así como de establecer canales de notificación y soporte para los afectados. Los usuarios deben extremar la precaución ante intentos de suplantación de identidad y monitorizar posibles usos indebidos de su información.
—
### 8. Conclusiones
El ataque a la Universidad Mount Royal representa una alerta para el sector educativo y cualquier entidad que gestione información crítica. La sofisticación de las técnicas empleadas y el aumento de ataques destructivos exigen una respuesta coordinada y proactiva. La inversión en tecnologías de prevención, la formación continua y el cumplimiento regulatorio serán clave para mitigar el impacto de futuras amenazas.
(Fuente: www.securityweek.com)
