Filtración de datos de la UPC: continúa la fuga de información privada en el Perú

LEER TAMBIÉN: Interbank y Plin: lo que debes hacer si eres cliente y la supuesta “negociación” con el hacker

Mediante este hecho se ha comprometido y expuesto información de estudiantes del centro de estudios de educación superior. La exposición ocurrió el último 9 de diciembre en BreachForums, un foro en línea de intercambio de información prohibida y sensible por el usuario de nombre ExKase20.

El actor de la amenaza afirma tener 25 gigabytes con la siguiente data: nombres completos, códigos de estudiantes, direcciones de correo electrónico personales y de la universidad, números de teléfono personales, fotos de estudiantes (incluyendo del carne universitario), etc.

Precisamente, dos cuentas de X (antes Twitter), como @DailyDarkWeb y @DarkWebInformer, que alertan con frecuencia sobre ataques cibernéticos, dieron a conocer esta vulneración. “Se ha informado de una filtración de datos de la Universidad Peruana de Ciencias Aplicadas, que ha dejado expuesta información confidencial de estudiantes y personal. El incidente plantea serias preocupaciones sobre la privacidad de los datos y la seguridad institucional”, se lee en uno de los post.

Asimismo, ambas señalaron que “un actor de amenazas afirma haber filtrado los datos de la Universidad Peruana de Ciencias Aplicadas”. El autor al que hacen referencia es el usuario ExKase20, quien es el mismo que aseveró haber accedido al sistema de la Municipalidad de Miraflores a fines de octubre, obteniendo información personal de miles de vecinos del distrito, así como haber difundido ilegalmente datos de Topitop y sus clientes días después.

Todo esto, a través del mismo foro por el cual se habría propagado datos de la UPC. “La filtración destaca las vulnerabilidades de las instituciones educativas y subraya la necesidad de contar con medidas de ciberseguridad sólidas para proteger los datos académicos y personales sensibles. Se recomienda a las personas afectadas que controlen sus cuentas para detectar actividades sospechosas y tomen precauciones contra el posible uso indebido de su información”, indicó @DailyDarkWeb.

En los últimos dos meses, los sistemas y las bases de datos de varias instituciones públicas y privadas han sido vulneradas, originando la extracción de información personal de miles de ciudadanos. Esta, a su vez, ha sido difundida y ofertada en foros en línea de intercambio de información prohibida y sensible.

Diversos usuarios de Interbank reportaron la mañana del 30 de octubre último, problemas para ingresar a sus cuentas y realizar operaciones por Plin. Horas después, el banco confirmó la filtración de datos de algunos clientes. La exposición ocurrió en BreachForums. El perpetrador digital afirmó tener más de 3,7 terabytes de datos de tres millones de usuarios de Interbank.

Hablamos de nombres completos, fechas de nacimiento, direcciones, teléfonos, correos, datos de tarjetas, CVV, contraseñas, credenciales de API internas, LDAP, credenciales de acceso a la base de datos del banco en Azure, transacciones bancarias, saldos en Tunki, entre otros.

Por su parte, Interbank reportó que los datos fueron expuestos por un tercero sin su autorización. Como respuesta, detalló que desplegaron medidas adicionales de seguridad, incluyendo un monitoreo especial, tanto de las operaciones como de la información de los clientes. Asimismo, al día siguiente informó que la mayoría de sus canales ya se encontraban operativos.

Apenas unas semanas antes, se registró otra filtración masiva de datos en BreachForums, donde más de 82 mil habitantes de Miraflores vieron expuesta información personal como nombres, DNI, teléfonos, correos y direcciones. Entre los afectados estaba incluso el Carlos Canales, alcalde del distrito, cuyo historial tributario y datos personales también fueron divulgados.

El responsable, identificado como ExKase20, afirmó que la filtración fue posible por una “vulnerabilidad en el sistema” de la Municipalidad de Miraflores, lo que permitió que datos personales de los vecinos se expusieran en enlaces de acceso público.

El mismo usuario afirmó días después haber difundido ilegalmente datos de Topitop, la tienda peruana de ropa y accesorios, que incluía “información sobre 1′810.084 clientes y abarcando detalles como nombres, identificaciones, direcciones de correo electrónico, números de teléfono y más”.

La universidad remitió un comunicado a El Comercio en el que señala que tras tomar conocimiento de la presunta filtración de datos de estudiantes, sus equipos de trabajo vienen tratando de esclarecer lo acontecido.

“El día de ayer (9 de diciembre) tomamos conocimiento de comentarios en algunas redes sobre la filtración de datos de algunos alumnos, que incluirían nombres, códigos, correos electrónicos y fotos de carnets universitarios. Hemos tomado acción inmediata y nuestros equipos vienen trabajando para esclarecer lo ocurrido”, se lee.

Agregó que cualquier novedad de la situación será compartida a través de sus canales oficiales. Exhortó a su comunidad educativa a utilizar únicamente estas fuentes para obtener información relacionada.

En tanto, algunos usuarios y estudiante de la UPC compartieron a través de X, correos que recibieron por parte de la universidad en el que se les comunica que se procederá a la migración de todos sus servidores a fin de brindar un mejor servicio digital para los procesos y trámites respectivos. Como se puede apreciar, el comunicado data del 5 de diciembre.

“Como parte de nuestro compromiso de mejorar tu experiencia universitaria y reforzar la seguridad de nuestras plataformas digitales, próximamente migraremos a un nuevo sistema integrado que nos permitirá brindarte un mejor servicio de autogestión académica y de matrícula”, se lee.

Asimismo, la universidad exhorta a los estudiantes tomar en cuenta que se suspenderá de forma temporal los trámites (a partir del 6 de diciembre), así como la atención en las plataformas digitales (del 22 al 26 de diciembre). También señala que se podrán visualizar las notas y los promedios finales solo hasta el próximo 21 de diciembre.

Por el momento, se desconoce si esta medida se trata de una respuesta por parte del centro de estudios a la vulneración sufrida o si fue antes de lo acontecido.

Ante la falta de más información por parte de la universidad y la reciente filtración, Rodrigo Ochoa, automation & ia manager de Moventi, comentó a El Comercio que la vulneración podría haberse dado por diversos motivos, probablemente a razón de una combinación de factores.

“Los usuarios pueden no haber sido suficientemente capacitados para reconocer y evitar amenazas como el phishing (envío de correos o mensajes que suplantan la identidad de compañías u organismos públicos). Quizá la universidad podría no haber mantenido sus sistemas y software actualizados, dejando vulnerabilidades, además de una falta de políticas estrictas de control de acceso. Quizá también la falta de herramientas de monitoreo efectivas podría haber permitido que la brecha pasara desapercibida”, explicó.

El experto señaló que la filtración de datos personales como los que se habrían difundido conlleva un grave riesgo para los estudiantes. Por ejemplo, detalló que la información puede ser utilizada para cometer fraudes, robar identidades e inclusive perpetuar chantajes.

“La confianza en la universidad puede verse afectada, lo que puede tener repercusiones a largo plazo (un tema de imagen). Además, los estudiantes pueden enfrentar gastos adicionales debido a la necesidad de proteger su información personal y resolver problemas derivados de la brecha”, sostuvo.

Por ello, Ochoa indicó que como parte de las acciones de respuesta, lo primero que debiera hacer la UPC es informar a todos los afectados sobre la brecha de seguridad y los datos comprometidos. Segundo, debe ofrecerles servicios de monitoreo de crédito y asesoramiento legal. En paralelo, es necesario que realice una investigación exhaustiva para determinar cómo ocurrió la brecha y qué datos fueron comprometidos.

“Y definitivamente tiene que implementar las mejoras necesarias en la infraestructura de seguridad para prevenir futuras vulneraciones”, añadió.

LEER TAMBIÉN: ¿Filtración desde adentro? Lo último sobre el caso de Interbank y por qué apuntan a las credenciales internas

En cuanto a las medidas de ciberseguridad que deben tener en general las universidades o los centros de estudios para proteger los datos de la comunidad educativa, Ochoa nombró las siguientes:

• Contar con un plan de ciberseguridad
• Capacitar a estudiantes, docentes y personal administrativo sobre las mejores prácticas de seguridad.
• Implementar medidas de seguridad robustas para proteger los datos almacenados en la nube.
• Establecer políticas estrictas de control de acceso para asegurar que solo las personas autorizadas puedan acceder a información sensible.
• Utilizar herramientas de monitoreo para detectar y responder rápidamente a cualquier actividad sospechosa.
• Por ultimo, pero no menos importante, mantener todos los sistemas y software actualizados para protegerse contra vulnerabilidades conocidas.