La Universidad de Harvard confirmó que un ataque de voice phishing permitió el acceso no autorizado a los sistemas de Alumni Affairs and Development, y la información personal de estudiantes, exalumnos, donantes, familiares y parte del personal académico y administrativo se vio comprometida.
La intrusión, detectada el 18 de noviembre, afectó bases de datos utilizadas para la gestión de actividades de recaudación de fondos y vinculación con la comunidad universitaria.
Los registros expuestos incluyen direcciones de correo electrónico, números de teléfono, domicilios personales y laborales, historial de asistencia a eventos, detalles sobre donaciones y datos biográficos asociados al trabajo de desarrollo institucional. La universidad aclaró que esos sistemas no almacenaban números de la Seguridad Social, contraseñas, datos financieros ni información de tarjetas de pago.
De acuerdo con lo informado por Klara Jelinkova, vicepresidenta y CIO de Harvard, y Jim Husson, vicepresidente de Alumni Affairs and Development, el incidente alcanzó a varios grupos vinculados con la institución: exalumnos, cónyuges y parejas de exalumnos, donantes, padres de estudiantes actuales y anteriores, algunas personas actualmente matriculadas y ciertos miembros de la facultad y del staff. Los afectados recibieron una notificación formal el 22 de noviembre.
Tras detectar la intrusión, la universidad bloqueó el acceso del atacante y activó una investigación junto con fuerzas de seguridad y especialistas externos en ciberseguridad. En las comunicaciones enviadas, Harvard pidió a la comunidad estar atenta a mensajes sospechosos que aparenten provenir de la institución, especialmente aquellos que soliciten reinicios de contraseña o datos sensibles como información bancaria.
Por ahora, Harvard no pudo precisar cuántas personas se vieron involucradas en la brecha. El episodio se suma a un antecedente reciente: en octubre, la universidad había iniciado otra investigación luego de que la banda de ransomware Clop afirmara haber obtenido datos explotando una vulnerabilidad zero-day en servidores de Oracle E-Business Suite. En las últimas semanas, otras instituciones de la Ivy League, como Princeton University y la University of Pennsylvania, también reconocieron incidentes que afectaron información de donantes.