EL IMPARCIAL
La Universidad Nacional Autónoma de México (UNAM) confirmó que fue víctima de un ciberataque ocurrido entre el 31 de diciembre y el 1 de enero, un incidente que derivó en la exposición de correos electrónicos privados y datos sensibles de estudiantes, académicos y trabajadores.
El hecho activó protocolos de seguridad, generó una denuncia ante la Fiscalía General de la República (FGR) y abrió un debate sobre la protección de la información en una de las instituciones educativas más grandes del país.Fuente: información oficial de la UNAM y reportes del periodista especializado en temas digitales Ignacio Gómez Villaseñor, difundidos en su cuenta de X.
¿Qué pasó en la UNAM y por qué es relevante?
Durante el periodo vacacional de fin de año, la Dirección General de Cómputo y de Tecnologías de Información y Comunicación (DGTIC) perdió por 18 horas el control de servidores clave. De acuerdo con la Universidad, se trató de una intrusión no autorizada que afectó cinco de los más de cien mil sistemas informáticos que conforman su infraestructura digital.
El impacto del ataque no se limitó a una interrupción técnica. Los reportes señalan la posible exposición de comprobantes de transferencias bancarias, contraseñas, números de cuenta, facturas y comunicaciones internas, incluidos correos confidenciales de altos funcionarios.
¿Qué información habría quedado expuesta?
Según los reportes difundidos por Gómez Villaseñor, los atacantes lograron acceder con privilegios de administrador (Root) al directorio LDAP, lo que permitió exponer matrículas, correos electrónicos y contraseñas cifradas de más de 380 mil alumnos y académicos.
El periodista indicó que “la intrusión permitió a los atacantes leer correos electrónicos confidenciales de altos funcionarios, incluyendo comunicaciones directas de la Oficina del Rector”. Esta afirmación forma parte de los señalamientos públicos sobre el alcance del ataque.
¿Cómo ocurrió el ciberataque?
La secuencia del ataque, de acuerdo con los reportes técnicos, comenzó con la comprometida visual del sitio web de la SDI, donde apareció la imagen de una calavera. Posteriormente, los atacantes tomaron control del tráfico de red al comprometer balanceadores de carga F5 BIG-IP mediante llaves SSH privadas que habrían quedado expuestas en equipos de la UNAM.
El responsable del ataque se identificó como “ByteToBreach”, quien, según Gómez Villaseñor, accedió a los sistemas universitarios y publicó información relacionada en un foro internacional de ciberdelincuencia, bajo el título “[SELLING] [MX] UNAM University Databases”.
El antecedente clave: un “acceso ilícito” detectado en marzo de 2025
El caso no surgió de la nada. Ignacio Gómez Villaseñor dio a conocer que un oficio de la Abogacía General confirmó que el 13 de marzo de 2025 se detectó un primer “acceso ilícito” a los sistemas de la SDI. Ante ello, la UNAM presentó una denuncia formal ante la FGR.
Este antecedente es relevante porque sugiere que los sistemas ya habían sido vulnerados meses antes del ataque masivo de fin de año.
Trabajo bajo protesta y vulnerabilidades técnicas
Mientras la FGR solicitaba información, el personal encargado de tecnología enfrentaba problemas internos. Una carta fechada el 19 de septiembre de 2025, firmada por trabajadores de la Coordinación de Proyectos Tecnológicos (CPTI), reveló que ingenieros y desarrolladores pasaron meses sin cobrar honorarios debido a procesos de auditoría.