La Universidade Nacional Autônoma do México enfrenta um dos piores crises de cibersegurança de sua história após confirmar um ataque cibernético massivo o que teria exposto informações sensíveis sobre grande parte da comunidade. O incidente, registrado entre 31 de dezembro e 1 de janeiroIsso lançou dúvidas sobre os sistemas de proteção da instituição e sua capacidade de responder a ameaças dessa magnitude.
Fontes universitárias e especialistas em segurança digital concordam que o ataque não afetou apenas e-mails institucionais e privados, mas também para dados pessoais, acadêmicos e financeiros de estudantes, trabalhadores e pessoal administrativo. Embora a universidade tenha tentado minimizar o escopoEvidências técnicas e vazamentos apontam para um cenário muito mais grave do que as declarações oficiais indicam.
Um ataque coordenado no meio da transição de ano
Durante a noite de 31 de dezembro e as primeiras horas de 1º de janeiro, o Direção-Geral de Informática e Tecnologias de Informação e Comunicação (DGTIC) A empresa perdeu o controle operacional de vários de seus servidores por pelo menos 18 horasEsse intervalo de tempo teria sido usado pelos atacantes para se movimentarem com considerável liberdade dentro da infraestrutura tecnológica da universidade.
Segundo a reconstrução realizada por especialistas e jornalistas especializados, o ataque concentrou-se inicialmente nos sistemas da Secretaria de Desenvolvimento Institucional (SDI)O primeiro sinal visível foi o aparecimento de um imagem de um crânio No site dessa agência, um gesto clássico de certos grupos de cibercriminosos é deixar um registro da intrusão e, de quebra, emitir um alerta público.
O jornalista de assuntos digitais Ignacio Gómez Villaseñor teve acesso a documentos internos e evidências técnicas que confirmam que o grupo identificado como “ByteToBreach” Ele conseguiu infiltrar-se nos servidores da UNAM. Sua análise forense dos arquivos sugere que a operação não foi um incidente isolado, mas o culminar de uma série de invasões anteriores.
Segundo esta investigação, o ataque massivo teria colocado em risco pelo menos 200 comunicações ou e-mails do Gabinete do Reitor e os e-mails de mais de 300.000 membros da comunidade universitáriaAlém disso, existem diversos repositórios de dados com informações particularmente sensíveis, muitos deles ligados a serviços administrativos e financeiros.
Dados pessoais, acadêmicos e financeiros em destaque
As informações comprometidas abrangeriam uma gama muito ampla de dados pessoais e acadêmicos, desde elementos básicos de identificação até documentação interna de alto nível. Relatórios internos indicam que o material exposto incluiria Números de contas, matrículas universitárias, comprovantes de transferência bancária e faturas., bem como senhas criptografadas associadas a contas institucionais.
Os atacantes teriam obtido acesso a e-mails privados e institucionais de estudantes, acadêmicos, funcionários administrativos e da gestão, o que inclui, de acordo com os vazamentos, comunicações confidenciais de altos funcionários da universidade e mensagens vindas da Gabinete do ReitorEssa camada de informações é particularmente sensível, pois pode conter decisões internas, discussões estratégicas e documentação da administração da universidade.
Entre os arquivos que teriam sido expostos, também são mencionados documentos administrativos e recibos de pagamento, bem como registros vinculados a serviços de gestão de faturamento e registroDado o enorme volume de informações envolvido, a comunidade universitária teme que alguns desses dados possam ser usados para fraude financeira, roubo de identidade ou extorsão.
De acordo com as análises disponíveis, a extensão do vazamento pode afetar mais de 380.000 estudantes e acadêmicosum número que faria deste incidente um dos Os ataques cibernéticos mais graves sofridos por uma instituição de ensino no México. e, por extensão, na esfera latino-americana, colocando-o no mesmo nível de outros grandes ataques que afetaram universidades europeias e espanholas nos últimos anos.
A falha técnica: vulnerabilidade CVE-2025-66478 e falha de manutenção
Em termos técnicos, os relatórios indicam que o ataque se aproveitou de uma vulnerabilidade. Vulnerabilidade catalogada como CVE-2025-66478, associado com servidores baseados em Next.jsEssa fragilidade teria permanecido sem solução durante um período crucial, coincidindo com uma fase de Insegurança no emprego e atrasos administrativos na equipe responsável pelo desenvolvimento e manutenção dos sistemas.
O próprio Gómez Villaseñor relaciona o sucesso do ataque ao contexto interno da universidade. carta datada de 19 de setembro de 2025, assinado pelos membros do Coordenação de Projetos Tecnológicos (CPTI)Ele denunciou que Engenheiros e desenvolvedores ficaram meses sem receber salário. As taxas cobradas devido aos "processos de auditoria" geraram um clima de protesto e precariedade na área de tecnologia.
Esse cenário, aliado à pressão diária sobre os serviços digitais, teria dificultado a implementação rápida de correções de segurança e tarefas críticas de manutençãoDessa forma, a vulnerabilidade CVE-2025-66478 permaneceu ativa por tempo suficiente para que os atacantes a explorassem com relativa facilidade, abrindo uma porta de entrada para os sistemas principais.
Além da vulnerabilidade nos servidores Next.js, os cibercriminosos teriam comprometido o Balanceadores de carga F5 BIG-IPEsses são elementos-chave no gerenciamento do tráfego de rede. Ao assumir o controle desses equipamentos, eles conseguiram redirecionar conexões, interceptar informações e facilitar a movimentação lateral dentro da infraestrutura, aumentando assim a profundidade da intrusão.
Métodos utilizados pelo grupo ByteToBreach
As evidências técnicas reunidas descrevem um cadeia de ataque sofisticada que combinavam diversas técnicas já conhecidas na área de cibersegurança. Por um lado, teriam utilizado Chaves SSH privadas expostas Em equipamentos universitários, essa é uma prática arriscada que, se não for gerenciada adequadamente, permite o acesso direto a servidores internos com pouquíssimas barreiras.
Uma vez lá dentro, o grupo teria subido na hierarquia para obter acesso. Raiz al diretório LDAP, o núcleo do sistema de autenticação e gestão de identidades da instituição. Com esse nível de controle, é possível Consultar, modificar e extrair registros em massa de usuários, o que explicaria a magnitude do vazamento placas de veículos, e-mails e senhas criptografados.
O fato de o atacante ter publicado uma descrição detalhada das etapas realizadas para invadir os sistemas não é coincidência. Como explicou Gómez Villaseñor, muitos grupos optam por tornar essas informações públicas para... para se protegerem contra possíveis negativas institucional e demonstrar, com evidências técnicas, que a intrusão foi real e de grande alcance.
Essa prática, embora represente um risco adicional ao disseminar vetores de ataque, também revela até que ponto os sistemas comprometidos podem apresentar vulnerabilidades. Configurações fracas, credenciais mal gerenciadas ou patches não aplicados., um catálogo de problemas que não é estranho a outras universidades europeias e espanholas que sofreram incidentes recentes.
Contexto: acesso não autorizado desde março de 2025
O ciberataque de fim de ano não ocorreu isoladamente. Comunicação oficial do Conselho Geral da UNAM confirma que o 13 de março de 2025 Um primeiro já foi detectado. “acesso não autorizado” aos sistemas do Secretaria de Desenvolvimento InstitucionalNaquela época, a universidade apresentou um denúncia ao Gabinete do Procurador-Geral (FGR), informando oficialmente as autoridades sobre a violação inicial.
No entanto, a evolução do procedimento não foi exatamente rápida. 2025 agostoO Ministério Público Federal (MPF) teria solicitado informações adicionais à unidade administrativa da SDI, alertando que, caso os dados solicitados não fossem fornecidos, o caso poderia ser arquivado. De acordo com os documentos citados, a universidade não enviou todas as informações solicitadas, em parte porque a equipe técnica... Trabalhei sob protesto e em condições de trabalho muito tensas..
Esses precedentes somam-se a outros. violações graves registradas em 2024que já havia levantado alertas sobre o verdadeiro estado da cibersegurança institucional. O ataque mais recente, mais visível e massivo, não seria, portanto, um caso isolado, mas o culminar de uma cadeia de incidentes o que não teria sido abordado com a firmeza necessária.
Gómez Villaseñor afirma que o atacante chegou mesmo a estabelecer persistência dentro de sistemasOu seja, a capacidade de permanecer oculto e retomar o controle no futuro, mesmo após esforços reativos de limpeza. Se isso fosse confirmado, a universidade seria forçada a Analise minuciosamente toda a sua infraestrutura.Algo complexo e dispendioso em termos de tempo e recursos.
Publicação e venda de informações roubadas
Uma vez obtido o acesso e extraídos os dados, o próximo passo do grupo atacante teria sido... monetização de informaçõesSegundo os vazamentos, o hacker conhecido como ByteToBreach publicou parte do banco de dados da UNAM em um fórum internacional de crimes cibernéticos, Sob o título:
Bancos de dados da Universidade UNAM
Esses tipos de anúncios geralmente são direcionados a redes sociais. cibercriminosos interessados em comprar pacotes de dados para diversos usos ilícitos: desde campanhas massivas de phishing até tentativas de fraude financeira ou roubo de identidade. O fato de o anúncio mencionar explicitamente uma grande universidade aumenta seu valor nesses mercados clandestinos.
O potencial de danos não se limita ao México. Bancos de dados desse tipo podem ser usados para ataques direcionados a empresas e organizações em outros paísesIsso inclui a Europa e a Espanha, através da exploração de endereços de e-mail reutilizados, senhas compartilhadas entre serviços e dados bancários vinculados a transações internacionais. Por esse motivo, incidentes como o ocorrido na UNAM são acompanhados de perto pela comunidade europeia de cibersegurança.
Entre os riscos mais preocupantes estão os possíveis uso fraudulento de informações pessoais e financeiras, a criação de perfis detalhados de estudantes e pesquisadores para campanhas de engenharia social e o uso de dados como moeda de troca em negociações entre grupos criminosos. Tudo isso aumenta a superfície de exposição, não apenas para a universidade, mas para qualquer entidade que mantenha laços com membros de sua comunidade.
Documentos internos confidenciais e controvérsias adicionais.
O ataque não se limitou à extração de dados pessoais. Entre os arquivos que teriam sido expostos, também estavam outros. documentos internos da Coordenação de Ligação e Transferência de Tecnologia (CVTT), responsável pela gestão de patentes e projetos de inovação na universidade.
Segundo informações vazadas, até 2025 a UNAM teria Recebeu um prêmio por uma patente relacionada à regeneração dentária., embora isso já tivesse sido Denunciado como plágio em junho de 2024O aparecimento desses documentos no contexto do ciberataque acrescenta um dimensão reputacional ao incidente, trazendo à tona decisões internas potencialmente controversas.
O vazamento desses tipos de arquivos internos demonstra o alcance que os invasores conseguiram obter. repositórios de documentos confidenciaisalém de simples bancos de dados operacionais. Caso o material seja totalmente divulgado, novas controvérsias poderão surgir, afetando tanto a administração central quanto grupos de pesquisa específicos.
Esse tipo de impacto colateral já foi observado em outros casos ocorridos em universidades europeias, onde brechas de segurança Acabaram por revelar relatórios confidenciais, minutas de contratos e documentos relacionados com a propriedade intelectual, gerando um efeito dominó que ultrapassou o problema estritamente técnico.
Resposta oficial da UNAM e percepção pública
Diante da avalanche de informações sobre o incidente, o DGTIC da UNAM A empresa emitiu um comunicado no qual reconheceu um “intrusão não autorizada” em seus sistemas. No entanto, a mensagem oficial insistiu que o ataque havia afetou apenas cinco dos mais de 100.000 sistemas de computador. que a universidade possui, um número que contrasta com a magnitude descrita pelos vazamentos.
A instituição alegou ter ativado imediatamente o protocolos de segurança de computadoresque teria incluído o desligamento preventivo de sistemas comprometidos e a revisão dos serviços afetados. No entanto, a falta de detalhes concretos sobre o tipo de dados expostos e o número real de pessoas afetadas alimentou a percepção de que a resposta oficial pode estar sendo excessivamente cautelosa, senão totalmente insuficiente.
Entretanto, especialistas em cibersegurança têm insistido na necessidade de a universidade oferecer informações claras e transparentes para a sua comunidade, incluindo recomendações específicas para a Gestão de senhas, monitoramento de transações bancárias e a detecção de possíveis tentativas de falsificação de identidade. Sem uma comunicação clara, muitos usuários ainda desconhecem o nível de risco a que estão sujeitos.
Paralelamente, surgiram debates sobre o modelo de governança tecnológica Dentro da instituição, a alocação de recursos humanos e financeiros para a segurança digital e o papel das autoridades universitárias nesse sentido. priorizar investimentos nesta área, um debate muito semelhante ao que inúmeras universidades na Espanha e no resto da Europa vêm travando há anos.
Todo esse episódio destaca a importância de ter Equipes técnicas estáveis e bem remuneradas, com espaço para manobrar.bem como com a atualização contínua de políticas e auditorias independentes, elementos que, quando falham, podem abrir caminho para incidentes graves como o que está abalando atualmente a UNAM.
O caso deixa um rastro de perguntas sem resposta sobre o verdadeiro alcance do ataque cibernético massivoa quantidade de dados que podem já ter circulado em fóruns de crimes cibernéticos e a capacidade real da universidade de restaurar a confiança de sua comunidade. Se algo parece claro hoje, é que a instituição terá que fortalecer profundamente sua estratégia de cibersegurança e sua comunicação com alunos e funcionários, em um contexto internacional no qual as universidades, tanto na América Latina quanto na Europa, se tornaram um alvo prioritário para ataques cibernéticos.
