La Universidad Nacional Autónoma de México enfrenta una de las crisis de ciberseguridad más graves de su historia reciente. Un ataque informático masivo, perpetrado entre el 31 de diciembre y el 1 de enero, comprometió la integridad de sus sistemas centrales, exponiendo un volumen masivo de datos sensibles y revelando una serie de irregularidades institucionales que habían permanecido bajo resguardo digital. La Dirección General de Cómputo y de Tecnologías de Información y Comunicación perdió el control de servidores críticos durante aproximadamente 18 horas, una ventana de tiempo más que suficiente para que el actor de amenaza, identificado como ByteToBreach, operara con impunidad.
La intrusión no fue un evento fortuito o aislado. Según el análisis forense realizado por el periodista especializado Ignacio Gómez Villaseñor, el atacante explotó una vulnerabilidad técnica específica, catalogada como CVE-2025-66478 en servidores Next.js. Sin embargo, la raíz del problema parece ser de naturaleza administrativa y humana. La investigación revela que, en el periodo previo al ataque, el personal técnico de la Coordinación de Proyectos Tecnológicos operaba bajo una profunda incertidumbre laboral, con retrasos de meses en el pago de sus honorarios debido a procesos de auditoría interna. Este contexto de desorganización y desmotivación creó el escenario ideal para que fallas críticas de mantenimiento y parcheo de sistemas pasaran desapercibidas.
La magnitud de la filtración es monumental. ByteToBreach no solo dejó una imagen simbólica de una calavera en el sitio web de la Secretaría de Desarrollo Institucional, sino que obtuvo acceso privilegiado a componentes esenciales de la infraestructura universitaria. Comprometió los balanceadores de carga F5 BIG-IP utilizando llaves SSH privadas que, de manera negligente, se encontraban expuestas en los equipos. Este acceso le otorgó control sobre el tráfico de red de numerosas facultades y dependencias. Además, logró privilegios de administrador root en el directorio LDAP, una base de datos central que almacena las credenciales de toda la comunidad. Como resultado, quedaron expuestas las matrículas, correos electrónicos y contraseñas cifradas de más de 380 mil estudiantes, académicos y trabajadores.
Pero la verdadera gravedad del incidente trasciende la fuga de credenciales. El hacker extrajo y posteriormente puso a la venta en foros clandestinos al menos 200 comunicaciones internas de la Rectoría, junto con correos de una vasta porción de la comunidad. Entre este material, surgieron documentos que evidencian graves problemas institucionales. Uno de los hallazgos más impactantes corresponde a la Coordinación de Vinculación, donde se descubrió que la UNAM premió en 2025 una patente sobre regeneración dental que, según documentos internos, había sido denunciada formalmente como plagio desde junio de 2024. Este hecho pone en entredicho los mecanismos de integridad académica y la gestión de la propiedad intelectual dentro de la máxima casa de estudios.
De forma paralela, la filtración sacó a la luz denuncias de conductas indebidas por parte de autoridades universitarias. Correos electrónicos de noviembre de 2025 confirman que la Junta de Gobierno estaba al tanto de acusaciones graves contra Constantino Macías García, director de la sede UNAM Canadá. Las denuncias, que ahora son de dominio público por el hackeo, lo señalan por presunto acoso laboral, conductas inapropiadas y asistencia en estado de ebriedad a las instalaciones. La exposición de estos casos a través de un ciberataque, en lugar de por los canales disciplinarios internos, revela una falla en los procedimientos para atender este tipo de quejas.
Un aspecto que agrava la situación es la evidencia de que la universidad tenía conocimiento previo de sus vulnerabilidades. Un oficio de la Abogacía General, fechado el 13 de marzo de 2025, ya documentaba un primer “acceso ilícito” a los sistemas de la SDI. La UNAM incluso presentó una denuncia formal ante la Fiscalía General de la República. No obstante, la respuesta institucional fue, cuando menos, deficiente. Cinco meses después, en agosto de 2025, la FGR solicitó información complementaria para avanzar en la investigación, advirtiendo que de no recibirla, el caso se archivaría. La universidad no proporcionó los datos requeridos, argumentando que el equipo técnico encargado trabajaba “bajo protesta” debido a sus precarias condiciones laborales. Esta inacción dejó los sistemas igual o más vulnerables que antes, allanando el camino para el ataque de fin de año.
El análisis técnico sugiere que la motivación principal de ByteToBreach fue financiera, tal como lo indica su publicación en un foro de ciberdelincuencia titulada “[SELLING] [MX] UNAM University Databases”, donde ofreció el acceso total a las bases de datos sin un precio fijo. Sin embargo, el efecto colateral de su acción ha sido realizar una auditoría forzosa y pública a la institución. Los documentos expuestos no solo muestran fallas técnicas, sino una cultura organizacional que permitió que casos de plagio y presuntas conductas abusivas se gestionaran con opacidad, y que las advertencias tempranas sobre seguridad informática fueran ignoradas debido a conflictos administrativos internos. La UNAM, consultada para este reportaje, no ha emitido ninguna comunicación oficial al respecto, dejando a su comunidad en la incertidumbre sobre el verdadero alcance del daño y las medidas concretas que se tomarán para evitar una repetición de estos hechos.
