La Nationale Universiteit van Mexico confronteert een van de ergste crises van cybersecurity van zijn geschiedenis na bevestiging van een massale cyberaanval waardoor gevoelige informatie over een groot deel van de gemeenschap aan het licht zou zijn gekomen. Het incident, dat plaatsvond tussen 31 december en 1 januariHet heeft twijfels doen rijzen over de beveiligingssystemen van de instelling en haar vermogen om te reageren op bedreigingen van deze omvang.
Bronnen binnen de universiteit en specialisten op het gebied van digitale beveiliging zijn het erover eens dat de aanval niet alleen gevolgen had voor de getroffen bedrijven. institutionele en privé-e-mails, maar ook om persoonlijke, academische en financiële gegevens van studenten, werknemers en managementpersoneel. Hoewel de universiteit heeft geprobeerd om de reikwijdte bagatelliserenTechnisch bewijsmateriaal en gelekte gegevens wijzen op een veel ernstiger scenario dan de officiële verklaringen doen vermoeden.
Een gecoördineerde aanval midden in de jaarovergang.
In de nacht van 31 december op 1 januari, de Algemeen directoraat voor computer- en informatie- en communicatietechnologie (DGTIC) Het bedrijf verloor de operationele controle over een aantal van zijn servers gedurende ten minste 18 uurDat tijdsinterval zouden de aanvallers hebben benut om zich met aanzienlijke bewegingsvrijheid binnen de technologische infrastructuur van de universiteit te bewegen.
Volgens de reconstructie door experts en gespecialiseerde journalisten was de aanval aanvankelijk gericht op de systemen van de Secretariaat voor Institutionele Ontwikkeling (SDI)Het eerste zichtbare teken was het verschijnen van een afbeelding van een schedel Op de website van dit agentschap, een klassiek gebaar van bepaalde cybercriminele groeperingen om een spoor van de inbraak achter te laten en en passant een openbare waarschuwing te plaatsen.
De journalist voor digitale zaken Ignacio Gómez Villaseñor heeft toegang gehad tot interne documenten en technisch bewijsmateriaal waaruit blijkt dat de geïdentificeerde groep als “ByteToBreach” Hij slaagde erin de servers van UNAM te infiltreren. Zijn forensische analyse van de bestanden wijst erop dat de operatie geen op zichzelf staand incident was, maar het hoogtepunt van een reeks eerdere inbreuken.
Volgens dit onderzoek zou de massale aanval een risico hebben gevormd. minstens 200 berichten of e-mails van het rectoraat en e-mails van meer dan 300.000 leden van de universitaire gemeenschapDaarnaast zijn er diverse databanken met bijzonder gevoelige informatie, waarvan vele gekoppeld zijn aan administratieve en financiële diensten.
Persoonlijke, academische en financiële gegevens in de schijnwerpers
De gelekte informatie zou een zeer breed scala aan onderwerpen omvatten. persoonlijke en academische gegevensvan basisidentificatie-elementen tot interne documentatie op hoog niveau. Interne rapporten geven aan dat het vrijgegeven materiaal het volgende zou omvatten: rekeningnummers, universiteitsinschrijvingen, bankoverschrijvingsbewijzen en facturen, evenals versleutelde wachtwoorden die gekoppeld zijn aan institutionele accounts.
De aanvallers zouden toegang hebben gekregen tot privé- en institutionele e-mails van studenten, academici, administratief personeel en management, waaronder, volgens de gelekte gegevens, vertrouwelijke communicatie van hooggeplaatste functionarissen van de universiteit en berichten afkomstig van de Bureau van de RectorDeze informatielaag is bijzonder gevoelig, omdat deze mogelijk interne beslissingen, strategische discussies en managementdocumentatie van de universiteit bevat.
Onder de bestanden die mogelijk openbaar zijn gemaakt, worden ook de volgende genoemd. administratieve documenten en betalingsbewijzen, evenals gegevens die verband houden met facturatie- en registratiebeheerservicesGezien de enorme hoeveelheid informatie vreest de universitaire gemeenschap dat een deel van deze gegevens gebruikt zou kunnen worden voor financiële fraude, identiteitsdiefstal of afpersing.
De omvang van het lek zou volgens beschikbare analyses meer dan 380.000 studenten en academicieen cijfer dat dit incident tot een van de De ernstigste cyberaanvallen die een onderwijsinstelling in Mexico hebben getroffen. en, bij uitbreiding, in Latijns-Amerika, plaatst het de aanslag op hetzelfde niveau als andere grote aanslagen die de afgelopen jaren Europese en Spaanse universiteiten hebben getroffen.
De technische kraak: kwetsbaarheid CVE-2025-66478 en onderhoudsfout
Op technisch vlak wijzen rapporten erop dat de aanval gebruik maakte van een kwetsbaarheid geregistreerd onder CVE-2025-66478, geassocieerd met servers gebaseerd op Next.jsDeze zwakte zou onopgelost zijn gebleven gedurende een cruciale periode, samenvallend met een fase van baanonzekerheid en administratieve vertragingen in het team dat verantwoordelijk is voor de ontwikkeling en het onderhoud van de systemen.
Gómez Villaseñor zelf koppelt het succes van de aanval aan de interne context van de universiteit. brief gedateerd 19 september 2025, ondertekend door leden van de Coördinatie van technologische projecten (CPTI)hij veroordeelde dat Ingenieurs en ontwikkelaars hadden maandenlang geen salaris ontvangen. Hun kosten werden in rekening gebracht vanwege "auditprocessen", wat leidde tot een klimaat van protest en onzekerheid binnen de technologiesector.
Dit scenario, in combinatie met de dagelijkse druk op digitale diensten, zou de snelle implementatie hebben belemmerd. beveiligingspatches en kritieke onderhoudstakenDe kwetsbaarheid CVE-2025-66478 bleef dus lang genoeg actief om aanvallers in staat te stellen deze relatief gemakkelijk te misbruiken, waardoor een toegangspoort tot kernsystemen werd geopend.
Naast de zwakke plek in de Next.js-servers zouden de cybercriminelen ook de volgende systemen hebben gecompromitteerd: F5 BIG-IP load balancersDit zijn cruciale elementen in het beheer van netwerkverkeer. Door de controle over deze apparatuur over te nemen, konden ze verbindingen omleiden, informatie onderscheppen en zich binnen de infrastructuur verplaatsen, waardoor de inbraak verder werd uitgebreid.
Methoden gebruikt door de ByteToBreach-groep
Het verzamelde technische bewijsmateriaal beschrijft een geavanceerde aanvalsketen waarbij verschillende technieken werden gecombineerd die al bekend waren op het gebied van cyberbeveiliging. Enerzijds zouden ze gebruik hebben gemaakt van privé SSH-sleutels blootgesteld Bij universitaire apparatuur is dit een riskante praktijk die, indien niet goed beheerd, directe toegang tot interne servers mogelijk maakt met zeer weinig beveiligingsmaatregelen.
Eenmaal binnen zou de groep de rangen beklimmen om toegang te krijgen. Root al LDAP-directory, het hart van het authenticatie- en identiteitsbeheersysteem van de instelling. Met dat niveau van controle is het mogelijk Opvragen, wijzigen en extraheren van records in bulk van gebruikers, wat de omvang van het lek zou verklaren. versleutelde kentekenplaten, e-mails en wachtwoorden.
Het feit dat de aanvaller een gedetailleerde beschrijving heeft gepubliceerd van de stappen die zijn genomen om de systemen te kraken, is geen toeval. Zoals Gómez Villaseñor uitlegde, kiezen veel groepen ervoor om deze informatie openbaar te maken om... om zichzelf te beschermen tegen mogelijke afwijzingen institutioneel en aantonen, met behulp van technisch bewijsmateriaal, dat de inbreuk daadwerkelijk en verstrekkend was.
Deze praktijk brengt weliswaar een extra risico met zich mee door de verspreiding van aanvalsvectoren, maar laat ook zien in hoeverre gecompromitteerde systemen kwetsbaarheden kunnen vertonen. zwakke configuraties, slecht beheerde inloggegevens of niet-toegepaste patchesEen opsomming van problemen die niet onbekend is bij andere Europese en Spaanse universiteiten die recentelijk met soortgelijke incidenten te maken hebben gehad.
Achtergrond: ongeautoriseerde toegang sinds maart 2025
De cyberaanval aan het einde van het jaar vond niet in een vacuüm plaats. Officiële mededeling van de juridisch adviseur van UNAM bevestigt dat de 13 maart 2025 Een eerste exemplaar is al ontdekt. “ongeautoriseerde toegang” naar de systemen van de Secretariaat voor Institutionele OntwikkelingDestijds presenteerde de universiteit een klacht bij het Openbaar Ministerie (FGR)waarbij de autoriteiten officieel op de hoogte worden gesteld van de eerste inbreuk.
De ontwikkeling van de procedure verliep echter niet bepaald snel. Augustus van 2025Het Openbaar Ministerie (FGR) heeft naar verluidt aanvullende informatie opgevraagd bij de administratieve afdeling van de SDI en gewaarschuwd dat de zaak gesloten zou kunnen worden als de gevraagde gegevens niet werden verstrekt. Volgens de aangehaalde documenten heeft de universiteit niet alle gevraagde informatie verstuurd, deels omdat het technische team Ik heb onder protest en in zeer gespannen werkomstandigheden gewerkt..
Deze precedenten komen bovenop andere. ernstige overtredingen geregistreerd in 2024die al eerder alarmbellen had doen rinkelen over de werkelijke staat van de institutionele cyberbeveiliging. De meest recente aanval, die zichtbaarder en omvangrijker was, zou daarom geen geïsoleerd geval zijn, maar het hoogtepunt van een reeks aanvallen. reeks incidenten die niet met de nodige daadkracht zou zijn aangepakt.
Gómez Villaseñor beweert dat de aanvaller er zelfs in was geslaagd om vast te stellen persistentie binnen systemenDat wil zeggen, het vermogen om verborgen te blijven en in de toekomst de controle terug te winnen, zelfs na reactieve opruimacties. Als dit bevestigd zou worden, zou de universiteit gedwongen worden om... Een grondige evaluatie van de gehele infrastructuur.iets complex en kostbaar, zowel qua tijd als qua middelen.
Publicatie en verkoop van gestolen informatie
Nadat de toegang was verkregen en de gegevens waren buitgemaakt, zou de volgende stap voor de aanvallende groep zijn geweest om... monetarisering van informatieVolgens de gelekte informatie is de hacker bekend als ByteToBreach een deel van de UNAM-database gepubliceerd in een internationaal cybercriminaliteitsforum, onder de titel:
UNAM Universiteitsdatabases
Dit soort advertenties is meestal gericht op sociale medianetwerken. cybercriminelen die geïnteresseerd zijn in het kopen van datapakketten voor diverse illegale doeleinden: van grootschalige phishingcampagnes tot pogingen tot financiële fraude of identiteitsdiefstal. Het feit dat de advertentie expliciet verwijst naar een grote universiteit verhoogt de waarde ervan op deze illegale markten.
De mogelijke schade is niet beperkt tot Mexico. Databases van dit type kunnen worden gebruikt om aanvallen gericht op bedrijven en organisaties in andere landenDit omvat Europa en Spanje, door misbruik te maken van hergebruikte e-mailadressen, wachtwoorden die voor verschillende diensten worden gedeeld en bankgegevens die gekoppeld zijn aan internationale transacties. Om deze reden worden incidenten zoals die bij UNAM nauwlettend in de gaten gehouden door de Europese cybersecuritygemeenschap.
Tot de meest zorgwekkende risico's behoren de mogelijke frauduleus gebruik van persoonlijke en financiële informatie, de creatie van gedetailleerde profielen van studenten en onderzoekers voor social engineering-campagnes en het gebruik van data als onderhandelingsmiddel in onderhandelingen tussen criminele groeperingen. Dit alles vergroot de kwetsbaarheid, niet alleen voor de universiteit, maar voor elke entiteit die banden onderhoudt met leden van haar gemeenschap.
Gevoelige interne documenten en bijkomende controverses
De aanval beperkte zich niet tot het stelen van persoonsgegevens. Onder de bestanden die naar verluidt zijn blootgesteld, bevonden zich ook interne documenten van de Coördinatie van Koppeling en Technologieoverdracht (CVTT)verantwoordelijk voor het beheer van patenten en innovatieprojecten aan de universiteit.
Volgens de gelekte informatie zou UNAM in 2025 beschikken over... bekroond met een prijs voor een patent met betrekking tot tandregeneratie.ook al was dit al gebeurd. gemeld als plagiaat in juni 2024Het feit dat deze documenten in de context van de cyberaanval verschijnen, voegt een extra dimensie toe. reputatiedimensie aan het incident bijdragen door mogelijk controversiële interne beslissingen ter tafel te brengen.
Het lekken van dit soort interne bestanden laat zien in hoeverre de aanvallers toegang hadden tot de systemen. gevoelige documentarchievenHet gaat verder dan eenvoudige operationele databases. Als het materiaal volledig openbaar wordt gemaakt, kunnen er nieuwe controverses ontstaan die zowel de centrale administratie als specifieke onderzoeksgroepen treffen.
Dit soort neveneffecten is al eerder waargenomen in andere gevallen die zich voordeden aan Europese universiteiten, waar inbreuken op de beveiliging Ze hebben uiteindelijk vertrouwelijke rapporten, conceptcontracten en documenten met betrekking tot intellectueel eigendom openbaar gemaakt, wat een domino-effect teweeg heeft gebracht dat veel verder reikt dan het puur technische probleem.
Officiële reactie van UNAM en publieke perceptie
Geconfronteerd met de lawine aan informatie over het incident, de DGTIC van UNAM Het bedrijf heeft een verklaring uitgegeven waarin het een erkenning uitsprak. “ongeautoriseerde indringing” in hun systemen. Het officiële bericht hield echter vol dat de aanval had plaatsgevonden. slechts vijf van de meer dan 100.000 computersystemen werden getroffen. Het bedrag dat de universiteit heeft, staat in schril contrast met de omvang die in de gelekte gegevens wordt beschreven.
De instelling beweerde de onmiddellijk te hebben geactiveerd. computerbeveiligingsprotocollenwat het volgende zou hebben omvat: preventieve uitschakeling van gecompromitteerde systemen en de evaluatie van de getroffen diensten. Het gebrek aan concrete details over het type gegevens dat is blootgesteld en het werkelijke aantal getroffen personen heeft echter de indruk gewekt dat de officiële reactie wellicht te voorzichtig, zo niet ronduit ontoereikend, is.
Ondertussen hebben cybersecurityspecialisten erop aangedrongen dat de universiteit het volgende moet aanbieden: duidelijke en transparante informatie aan hun gemeenschap, inclusief specifieke aanbevelingen voor de wachtwoordbeheer, monitoring van banktransacties en het opsporen van mogelijke pogingen tot identiteitsfraude. Zonder duidelijke communicatie zijn veel gebruikers zich nog steeds niet bewust van het risico dat ze lopen.
Tegelijkertijd zijn er discussies ontstaan over het model van technologisch bestuur Binnen de instelling, de toewijzing van menselijke en financiële middelen voor digitale beveiliging en de rol van de universiteitsautoriteiten in dit verband. investeringen in dit gebied prioriteit geveneen debat dat sterk lijkt op het debat dat al jaren op talloze universiteiten in Spanje en de rest van Europa plaatsvindt.
Deze hele aflevering benadrukt het belang van het hebben van stabiele, goedbetaalde technische teams met voldoende bewegingsruimteNaast het continu bijwerken van beleid en onafhankelijke audits, elementen die, wanneer ze falen, de deur kunnen openzetten voor grote incidenten zoals die welke UNAM momenteel teistert.
De zaak roept een spoor van onbeantwoorde vragen op over de ware omvang van de zaak. massale cyberaanvalDe hoeveelheid gegevens die al op cybercriminele fora circuleert en het daadwerkelijke vermogen van de universiteit om het vertrouwen van haar gemeenschap te herstellen. Als er vandaag de dag iets duidelijk is, dan is het wel dat de instelling haar cybersecuritystrategie en hun communicatie met studenten en personeel, in een internationale context waarin universiteiten, zowel in Latijns-Amerika als in Europa, een prioriteitsdoelwit zijn geworden voor digitale aanvallers.
