La Národní autonomní univerzita Mexika čelí jednomu z nejhorších krizí cybersecurity jeho historie po potvrzení masivní kybernetický útok což by odhalilo citlivé informace o velké části jeho komunity. Incident, zaznamenaný mezi 31. prosince a 1. lednaZpochybnilo to ochranné systémy instituce a její schopnost reagovat na hrozby tohoto rozsahu.
Univerzitní zdroje a specialisté na digitální bezpečnost se shodují, že útok postihl nejen institucionální a soukromé e-maily, ale také osobní, akademické a finanční údaje studentů, pracovníků a vedoucích pracovníků. Přestože se univerzita snažila zlehčovat rozsahTechnické důkazy a úniky informací poukazují na mnohem závažnější scénář, než jaký odrážejí oficiální prohlášení.
Koordinovaný útok uprostřed přechodného roku
Během noci z 31. prosince na časné ranní hodiny 1. ledna Generální ředitelství pro výpočetní techniku a informační a komunikační technologie (DGTIC) Ztratila provozní kontrolu nad několika svými servery nejméně na dobu 18 hodinTento časový interval by útočníci využili k pohybu se značnou volností v rámci technologické infrastruktury univerzity.
Podle rekonstrukce provedené experty a specializovanými novináři se útok zpočátku zaměřil na systémy Sekretariát pro institucionální rozvoj (SDI)Prvním viditelným znakem byl výskyt obrázek lebky na webových stránkách této agentury, klasické gesto určitých kyberzločineckých skupin, zanechat záznam o narušení a mimochodem vydat veřejné varování.
Novinář pro digitální záležitosti Ignacio Gómez Villaseñor měl přístup k interním dokumentům a technickým důkazům potvrzujícím, že skupina identifikovaná jako „ByteToBreach“ Podařilo se mu infiltrovat servery UNAM. Jeho forenzní analýza souborů naznačuje, že operace nebyla ojedinělým incidentem, ale vyvrcholením série předchozích narušení bezpečnosti.
Podle tohoto vyšetřování by masivní útok ohrozil alespoň 200 sdělení nebo e-mailů z rektorátu a e-maily od více než 300 000 členů univerzitní komunityKromě toho existují různá datová úložiště s obzvláště citlivými informacemi, z nichž mnohá souvisí s administrativními a finančními službami.
Osobní, akademické a finanční údaje v centru pozornosti
Ohrožené informace by pokrývaly velmi širokou škálu osobní a akademické údaje, od základních identifikačních prvků až po interní dokumentaci na vysoké úrovni. Interní zprávy naznačují, že zveřejněný materiál by zahrnoval čísla účtů, univerzitní registrace, doklady o bankovním převodu a faktury, stejně jako šifrovaná hesla spojená s institucionálními účty.
Útočníci by získali přístup k soukromé a institucionální e-maily studentů, akademiků, administrativních pracovníků a managementu, což podle úniků informací zahrnuje i důvěrná komunikace vysoce postavených úředníků z univerzity a zprávy přicházející z RektorátTato vrstva informací je obzvláště citlivá, protože potenciálně obsahuje interní rozhodnutí, strategické diskuse a dokumentaci managementu univerzity.
Mezi soubory, které by byly odhaleny, jsou také zmíněny administrativní dokumenty a platební doklady, stejně jako záznamy propojené s služby správy fakturace a registraceVzhledem k obrovskému objemu informací se univerzitní komunita obává, že některá z těchto dat by mohla být použita pro finanční podvod, krádež identity nebo vydírání.
Rozsah úniku by podle dostupných analýz mohl ovlivnit více než 380 000 studentů a akademikůčíslo, které by z této události udělalo jednu z Nejzávažnější hackerské útoky, kterým čelí vzdělávací instituce v Mexiku a v širším smyslu i v latinskoamerické sféře, což jej řadí na úroveň dalších velkých útoků, které v posledních letech postihly evropské a španělské univerzity.
Technická chyba: zranitelnost CVE-2025-66478 a selhání údržby
Na technické úrovni zprávy naznačují, že útok využil zranitelnost katalogizovaná jako CVE-2025-66478, spojené s servery založené na Next.jsTato slabina by zůstala nevyřešena během klíčového období, které se shodovalo s fází nejistota zaměstnání a administrativní zpoždění v týmu zodpovědném za vývoj a údržbu systémů.
Sám Gómez Villaseñor spojuje úspěch útoku s vnitřním kontextem univerzity. dopis ze dne 19. září 2025, podepsaný členy Koordinace technologických projektů (CPTI), odsoudil to Inženýři a vývojáři byli měsíce bez platu. jejich poplatky kvůli „auditním procesům“, což v technologické oblasti vyvolalo atmosféru protestů a nejistoty.
Tento scénář, spolu s každodenním tlakem na digitální služby, by bránil rychlé implementaci bezpečnostní záplaty a kritické úkoly údržbyZranitelnost CVE-2025-66478 tak zůstala aktivní dostatečně dlouho na to, aby ji útočníci mohli relativně snadno zneužít a otevřít tak bránu do klíčových systémů.
Kromě slabiny v serverech Next.js by kyberzločinci ohrozili i Vyrovnávače zátěže F5 BIG-IPToto jsou klíčové prvky v řízení síťového provozu. Převzetím kontroly nad tímto zařízením byli schopni přesměrovávat připojení, zachycovat informace a usnadňovat laterální pohyb v rámci infrastruktury, čímž zvyšovali hloubku narušení.
Metody používané skupinou ByteToBreach
Shromážděné technické důkazy popisují sofistikovaný útočný řetězec které kombinovaly několik technik již známých v oblasti kybernetické bezpečnosti. Na jedné straně by použily odhaleny soukromé SSH klíče V univerzitním vybavení se jedná o riskantní praktiku, která, pokud není správně řízena, umožňuje přímý přístup k interním serverům s velmi malým počtem překážek.
Jakmile byli uvnitř, skupina musela vyšplhat po řadách, aby se dostala nahoru. Kořen al Adresář LDAP, srdce systému ověřování a správy identit instituce. S touto úrovní kontroly je možné hromadné dotazování, úpravy a extrakce záznamů uživatelů, což by vysvětlovalo rozsah úniku šifrované registrační značky, e-maily a hesla.
Skutečnost, že útočník zveřejnil podrobný rozpis kroků podniknutých k prolomení systémů, není náhoda. Jak vysvětlil Gómez Villaseñor, mnoho skupin se rozhodne tyto informace zveřejnit, aby... aby se chránili před případným zamítnutím institucionální a prokázat s pomocí technických důkazů, že narušení bylo skutečné a dalekosáhlé.
Tato praxe sice představuje dodatečné riziko šířením vektorů útoku, ale zároveň odhaluje rozsah, v jakém by mohly napadené systémy vykazovat slabé konfigurace, špatně spravované přihlašovací údaje nebo neaplikované záplaty, katalog problémů, který není cizí ani jiným evropským a španělským univerzitám, jež v poslední době utrpěly incidenty.
Souvislosti: neoprávněný přístup od března 2025
Kybernetický útok na konci roku se nestal ve vakuu. oficiální sdělení generálního právního zástupce UNAM potvrzuje, že 13 března 2025 První z nich již byl detekován „neoprávněný přístup“ k systémům Sekretariát pro institucionální rozvojV té době univerzita představila stížnost generálnímu prokurátorovi (FGR), přičemž oficiálně informoval úřady o prvním narušení.
Vývoj postupu však nebyl zrovna rychlý. Srpna 2025Úřad generálního prokurátora (FGR) údajně požádal administrativní oddělení SDI o doplňující informace s varováním, že pokud nebudou požadované údaje poskytnuty, případ by mohl být uzavřen. Podle citovaných dokumentů univerzita nezaslala všechny požadované informace, částečně proto, že technický tým Pracoval jsem za protestů a ve velmi napjatých pracovních podmínkách..
Tyto precedenty jsou vedle jiných závažných porušení zaznamenaných v roce 2024což již vyvolalo poplach ohledně skutečného stavu institucionální kybernetické bezpečnosti. Nejnovější útok, viditelnější a masivnější, by proto nebyl ojedinělým případem, ale vyvrcholením řetězec incidentů který by nebyl řešen s potřebnou důrazností.
Gómez Villaseñor tvrdí, že útočníkovi se dokonce podařilo prosadit perzistence v rámci systémůTedy schopnost zůstat skrytý a znovu získat kontrolu v budoucnu, a to i po reaktivních snahách o vyčištění. Pokud by se to potvrdilo, univerzita by byla nucena důkladně prozkoumat veškerou jeho infrastrukturu, něco složitého a nákladného, a to jak z hlediska času, tak i zdrojů.
Zveřejňování a prodej odcizených informací
Jakmile byl přístup zabezpečen a data extrahována, dalším krokem útočné skupiny by bylo monetizace informacíPodle úniků informací hacker známý jako ByteToBreach publikoval část databáze UNAM v mezinárodní fórum o kyberkriminalitě, pod názvem:
Univerzitní databáze UNAM
Tyto typy reklam jsou obvykle cíleny na sociální sítě. kyberzločinci se zájmem o nákup datových balíčků pro různé nezákonné účely: od masivních phishingových kampaní až po pokusy o finanční podvody nebo krádež identity. Skutečnost, že reklama explicitně zmiňuje velkou univerzitu, zvyšuje její hodnotu na těchto podzemních trzích.
Potenciální škoda se neomezuje pouze na Mexiko. Databáze tohoto typu lze použít k útoky zaměřené na společnosti a organizace v jiných zemíchTo zahrnuje i Evropu a Španělsko, kde se zneužívají opakovaně používané e-mailové adresy, hesla sdílená napříč službami a bankovní údaje spojené s mezinárodními transakcemi. Z tohoto důvodu jsou incidenty, jako byl ten v UNAM, pečlivě sledovány evropskou komunitou kybernetické bezpečnosti.
Mezi nejznepokojivější rizika patří možná podvodné použití osobních a finančních údajů, vytvoření podrobné profily studentů a výzkumníků pro kampaně sociálního inženýrství a využívání dat jako vyjednávacího prostředku při jednáních mezi zločineckými skupinami. To vše zvyšuje expoziční plochu nejen univerzity, ale jakéhokoli subjektu, který udržuje vazby s členy své komunity.
Citlivé interní dokumenty a další kontroverze
Útok se neomezoval pouze na extrakci osobních údajů. Mezi údajně odhalenými soubory byly také interní dokumenty Koordinace propojení a transferu technologií (CVTT), zodpovědný za správu patentů a inovačních projektů na univerzitě.
Podle uniklých informací by UNAM do roku 2025 měl získal cenu za patent týkající se regenerace zubů, i když to už bylo nahlášeno jako plagiátorství v červnu 2024Výskyt těchto dokumentů v kontextu kybernetického útoku dodává reputační rozměr k incidentu tím, že předložil potenciálně kontroverzní interní rozhodnutí.
Únik těchto typů interních souborů ukazuje, do jaké míry se útočníkům podařilo získat přístup k nim. úložiště citlivých dokumentůnad rámec jednoduchých provozních databází. Pokud by byl materiál plně šířen, mohly by vzniknout nové kontroverze, které by ovlivnily jak ústřední správu, tak specifické výzkumné skupiny.
Tento typ vedlejšího dopadu již byl pozorován v jiných případech, k nimž došlo na evropských univerzitách, kde narušení bezpečnosti Nakonec odhalili důvěrné zprávy, návrhy smluv a dokumenty týkající se duševního vlastnictví, což vyvolalo dominový efekt, který překračuje rámec čistě technického problému.
Oficiální reakce UNAM a vnímání veřejnosti
Tváří v tvář lavině informací o incidentu, DGTIC UNAM Vydala prohlášení, ve kterém uznala „neoprávněný vniknutí“ v jejich systémech. Oficiální zpráva však trvala na tom, že útok proběhl postihlo pouze pět z více než 100 000 počítačových systémů kterým univerzita disponuje, což je číslo, které kontrastuje s rozsahem popsaným v únikových informacích.
Instituce tvrdila, že systém okamžitě aktivovala protokoly počítačové bezpečnostikterý by zahrnoval preventivní vypnutí napadených systémů a přezkum dotčených služeb. Nedostatek konkrétních podrobností o typu zveřejněných dat a skutečném počtu dotčených osob však přiživil dojem, že oficiální reakce může být příliš opatrná, ne-li přímo nedostatečná.
Mezitím specialisté na kybernetickou bezpečnost trvají na tom, že univerzita musí nabízet jasné a transparentní informace jejich komunitě, včetně konkrétních doporučení pro správa hesel, sledování bankovních transakcí a odhalování potenciálních pokusů o vydávání se za jinou osobu. Bez jasné komunikace si mnoho uživatelů stále neuvědomuje míru rizika, kterému čelí.
Souběžně s tím probíhaly debaty o modelu technologická správa věcí veřejných v rámci instituce, alokace lidských a finančních zdrojů pro digitální bezpečnost a role univerzitních orgánů v tomto ohledu upřednostnit investice v této oblasti, což je debata velmi podobná té, kterou již léta vedou četné univerzity ve Španělsku a zbytku Evropy.
Celá tato epizoda zdůrazňuje důležitost toho, stabilní, dobře placené technické týmy s manévrovacím prostoremstejně jako s neustálou aktualizací politik a nezávislými audity, což jsou prvky, které v případě selhání mohou otevřít dveře k závažným incidentům, jako je ten, který v současné době otřásá UNAM.
Případ zanechává stopu nezodpovězených otázek ohledně skutečného rozsahu masivní kybernetický útokmnožství dat, která již kolovala na fórech o kyberkriminalitě, a skutečná schopnost univerzity obnovit důvěru své komunity. Pokud se dnes něco zdá jasné, pak je to to, že instituce bude muset zásadně posílit své strategie kybernetické bezpečnosti a jejich komunikaci se studenty a zaměstnanci v mezinárodním kontextu, v němž se univerzity, a to jak v Latinské Americe, tak v Evropě, staly prioritním cílem digitálních útočníků.
