La National Autonomous University of Mexico steht einem der schlimmste Krisen Cybersicherheit seiner Geschichte nach Bestätigung einer massiver Cyberangriff wodurch sensible Informationen über einen großen Teil der Bevölkerung offengelegt worden wären. Der Vorfall wurde zwischen 31. Dezember und 1. JanuarDies hat Zweifel an den Schutzsystemen der Institution und ihrer Fähigkeit, auf Bedrohungen dieser Größenordnung zu reagieren, aufkommen lassen.
Universitätsangehörige und Experten für digitale Sicherheit sind sich einig, dass der Angriff nicht nur betroffen hat. institutionelle und private E-Mails, aber auch zu persönliche, akademische und finanzielle Daten von Studierenden, Mitarbeitern und der Universitätsleitung. Obwohl die Universität versucht hat, den Umfang herunterspielenTechnische Beweise und Indiskretionen deuten auf ein weitaus ernsteres Szenario hin, als es die offiziellen Stellungnahmen vermuten lassen.
Ein koordinierter Angriff mitten im Jahresübergang
In der Nacht vom 31. Dezember auf den 1. Januar ereignete sich Folgendes: Generaldirektion für Computer- und Informationstechnologien (DGTIC) Es verlor für mindestens mehrere Tage die operative Kontrolle über mehrere seiner Server. 18 StundenDieses Zeitintervall hätten die Angreifer genutzt, um sich innerhalb der technologischen Infrastruktur der Universität mit beträchtlicher Freiheit zu bewegen.
Laut der von Experten und Fachjournalisten durchgeführten Rekonstruktion konzentrierte sich der Angriff zunächst auf die Systeme der Sekretariat für institutionelle Entwicklung (SDI)Das erste sichtbare Anzeichen war das Auftreten eines Bild eines Schädels auf der Website dieser Behörde – eine klassische Geste bestimmter Cyberkriminellengruppen, um einen Nachweis über den Einbruch zu hinterlassen und nebenbei eine öffentliche Warnung auszusprechen.
Der Journalist für digitale Angelegenheiten Ignacio Gómez Villaseñor hat Zugang zu internen Dokumenten und technischen Beweismitteln, die bestätigen, dass die als „ByteToBreach“ Es gelang ihm, in die Server der UNAM einzudringen. Seine forensische Analyse der Dateien deutet darauf hin, dass es sich nicht um einen Einzelfall handelte, sondern um den Höhepunkt einer Reihe vorangegangener Sicherheitsverletzungen.
Laut dieser Untersuchung hätte der massive Angriff gefährdet mindestens 200 Mitteilungen oder E-Mails aus dem Rektoratsbüro und E-Mails von mehr als 300.000 Mitgliedern der UniversitätsgemeinschaftDarüber hinaus gibt es verschiedene Datenspeicher mit besonders sensiblen Informationen, von denen viele mit Verwaltungs- und Finanzdienstleistungen verknüpft sind.
Persönliche, akademische und finanzielle Daten im Fokus
Die kompromittierten Informationen würden ein sehr breites Spektrum abdecken persönliche und akademische DatenVon grundlegenden Identifikationsmerkmalen bis hin zu internen Dokumenten auf höchster Ebene. Interne Berichte deuten darauf hin, dass das offengelegte Material Folgendes umfassen würde: Kontonummern, Hochschulregistrierungen, Banküberweisungsbelege und Rechnungensowie verschlüsselte Passwörter, die mit institutionellen Konten verknüpft sind.
Die Angreifer hätten Zugang erlangt auf private und institutionelle E-Mails von Studierenden, Akademikern, Verwaltungspersonal und Management, wozu laut den Leaks Folgendes gehört: vertrauliche Kommunikation hochrangiger Beamter von der Universität und Nachrichten, die von der RektoratsbüroDiese Informationsebene ist besonders sensibel, da sie potenziell interne Entscheidungen, strategische Diskussionen und Dokumente des Universitätsmanagements enthält.
Unter den Dateien, die offengelegt worden wären, werden auch folgende erwähnt: Verwaltungsdokumente und Zahlungsbelegesowie Datensätze, die mit Abrechnungs- und RegistrierungsmanagementdiensteAngesichts der enormen Datenmenge befürchtet die Universitätsgemeinschaft, dass einige dieser Daten für … verwendet werden könnten. Finanzbetrug, Identitätsdiebstahl oder Erpressung.
Das Ausmaß des Lecks könnte laut vorliegenden Analysen mehr als … betreffen. 380.000 Studenten und Akademikereine Zahl, die diesen Vorfall zu einem der Die schwerwiegendsten Hackerangriffe, die eine Bildungseinrichtung in Mexiko erlitten hat und, im weiteren Sinne, auch im lateinamerikanischen Raum, womit der Anschlag auf eine Stufe mit anderen großen Angriffen gestellt wird, die in den letzten Jahren europäische und spanische Universitäten getroffen haben.
Der technische Knackpunkt: Sicherheitslücke CVE-2025-66478 und Wartungsfehler
Auf technischer Ebene deuten Berichte darauf hin, dass der Angriff eine Sicherheitslücke ausnutzte Schwachstelle katalogisiert als CVE-2025-66478, verbunden mit Server basierend auf Next.jsDiese Schwäche wäre während einer entscheidenden Phase ungelöst geblieben, die mit einem Stadium von Arbeitsplatzunsicherheit und administrative Verzögerungen im Team, das für die Entwicklung und Wartung der Systeme verantwortlich ist.
Gómez Villaseñor selbst bringt den Erfolg des Angriffs mit dem internen Kontext der Universität in Verbindung. Schreiben vom 19. September 2025, unterzeichnet von Mitgliedern der Koordinierung von Technologieprojekten (CPTI), er verurteilte das Ingenieure und Entwickler hatten monatelang kein Gehalt erhalten. Ihre Gebühren aufgrund von „Prüfverfahren“, die ein Klima des Protests und der Unsicherheit im Technologiesektor hervorriefen.
Dieses Szenario, verbunden mit dem täglichen Druck auf digitale Dienste, hätte die rasche Umsetzung behindert. Sicherheitspatches und kritische WartungsaufgabenDie Sicherheitslücke CVE-2025-66478 blieb somit lange genug aktiv, damit Angreifer sie relativ einfach ausnutzen konnten und sich so ein Einfallstor in Kernsysteme öffneten.
Zusätzlich zu der Schwachstelle in den Next.js-Servern hätten die Cyberkriminellen die F5 BIG-IP Load BalancerDies sind Schlüsselelemente im Netzwerkverkehrsmanagement. Durch die Übernahme der Kontrolle über diese Geräte konnten sie Verbindungen umleiten, Informationen abfangen und die seitliche Bewegung innerhalb der Infrastruktur erleichtern, wodurch die Tiefe des Eindringens erhöht wurde.
Methoden, die von der ByteToBreach-Gruppe verwendet werden
Die gesammelten technischen Beweise beschreiben eine ausgeklügelte Angriffskette die mehrere bereits bekannte Techniken aus dem Bereich der Cybersicherheit kombinierten. Zum einen hätten sie verwendet private SSH-Schlüssel offengelegt Bei universitären Geräten ist dies eine riskante Praxis, die, wenn sie nicht ordnungsgemäß gehandhabt wird, einen direkten Zugriff auf interne Server mit sehr wenigen Sicherheitsvorkehrungen ermöglicht.
Sobald die Gruppe im Inneren war, hätte sie die Ränge erklommen, um Zugang zu erhalten. Wurzel al LDAP-Verzeichnis, das Herzstück des Authentifizierungs- und Identitätsmanagementsystems der Institution. Mit diesem Kontrollniveau ist es möglich Datensätze in großen Mengen abfragen, ändern und extrahieren von Nutzern, was das Ausmaß des Datenlecks erklären würde. verschlüsselte Nummernschilder, E-Mails und Passwörter.
Dass der Angreifer eine detaillierte Aufschlüsselung der Schritte zum Eindringen in die Systeme veröffentlichte, ist kein Zufall. Wie Gómez Villaseñor erklärte, entscheiden sich viele Gruppen dafür, diese Informationen zu veröffentlichen, um… um sich vor möglichen Ablehnungen zu schützen institutionell und mit technischen Beweisen nachzuweisen, dass der Eingriff real und weitreichend war.
Diese Vorgehensweise birgt zwar ein zusätzliches Risiko durch die Verbreitung von Angriffsvektoren, zeigt aber auch, in welchem Ausmaß kompromittierte Systeme auftreten können. schwache Konfigurationen, schlecht verwaltete Anmeldeinformationen oder nicht angewendete Patches, eine Liste von Problemen, die auch anderen europäischen und spanischen Universitäten, die in letzter Zeit von Vorfällen betroffen waren, nicht fremd sind.
Hintergrund: Unbefugter Zugriff seit März 2025
Der Cyberangriff zum Jahresende fand nicht im luftleeren Raum statt. offizielle Mitteilung des General Counsel der UNAM bestätigt, dass die 13 März 2025 Ein erster Fall wurde bereits entdeckt. „unbefugter Zugriff“ zu den Systemen der Sekretariat für institutionelle EntwicklungZu jener Zeit präsentierte die Universität eine Beschwerde an die Generalstaatsanwaltschaft (FGR), die Behörden offiziell über den ersten Verstoß zu informieren.
Die Entwicklung des Verfahrens verlief allerdings nicht gerade schnell. August 2025Die Generalstaatsanwaltschaft forderte Berichten zufolge zusätzliche Informationen von der Verwaltungseinheit des SDI an und warnte, dass der Fall eingestellt werden könnte, falls die erforderlichen Daten nicht bereitgestellt würden. Laut den zitierten Dokumenten übermittelte die Universität nicht alle angeforderten Informationen, unter anderem weil das technische Team Ich arbeitete unter Protest und unter sehr angespannten Arbeitsbedingungen..
Diese Präzedenzfälle ergänzen andere. Schwere Verstöße, die im Jahr 2024 verzeichnet wurdendie bereits Alarm über den wahren Zustand der institutionellen Cybersicherheit geschlagen hatten. Der jüngste, sichtbarere und massivere Angriff wäre daher kein Einzelfall, sondern der Höhepunkt einer Kette von Vorfällen die nicht mit der nötigen Entschlossenheit angegangen worden wären.
Gómez Villaseñor behauptet, der Angreifer habe es sogar geschafft, sich einzurichten Persistenz innerhalb von SystemenDas heißt, die Fähigkeit, unentdeckt zu bleiben und die Kontrolle in Zukunft wiederzuerlangen, selbst nach reaktiven Aufräummaßnahmen. Sollte sich dies bestätigen, wäre die Universität gezwungen, die gesamte Infrastruktur gründlich überprüfen, etwas Komplexes und Kostenintensives, sowohl in Bezug auf Zeit als auch auf Ressourcen.
Veröffentlichung und Verkauf gestohlener Informationen
Nachdem der Zugriff gesichert und die Daten extrahiert worden waren, wäre der nächste Schritt für die Angreifergruppe gewesen, Monetarisierung von InformationenDen Leaks zufolge handelt es sich bei dem Hacker um jemanden, der als ByteToBreach einen Teil der UNAM-Datenbank veröffentlicht in einem internationales Forum für Cyberkriminalität, unter dem Titel:
Datenbanken der UNAM-Universität
Diese Art von Anzeigen zielt in der Regel auf soziale Netzwerke ab. Cyberkriminelle, die am Kauf von Datenpaketen interessiert sind Für diverse illegale Zwecke: von massiven Phishing-Kampagnen bis hin zu Versuchen des Finanzbetrugs oder Identitätsdiebstahls. Die Tatsache, dass die Anzeige explizit auf eine große Universität verweist, steigert ihren Wert auf diesen Untergrundmärkten.
Der potenzielle Schaden beschränkt sich nicht auf Mexiko. Datenbanken dieser Art können verwendet werden, um Angriffe auf Unternehmen und Organisationen in anderen LändernDies betrifft auch Europa und Spanien, da dabei wiederverwendete E-Mail-Adressen, Passwörter, die für verschiedene Dienste genutzt werden, und Bankdaten im Zusammenhang mit internationalen Transaktionen ausgenutzt werden. Aus diesem Grund werden Vorfälle wie der an der UNAM von der europäischen Cybersicherheitsgemeinschaft genau beobachtet.
Zu den besorgniserregendsten Risiken zählen die möglichen betrügerische Verwendung von persönlichen und finanziellen Informationen, die Kreation von detaillierte Profile von Studenten und Forschern für Social-Engineering-Kampagnen und den Einsatz von Daten als Druckmittel in Verhandlungen zwischen kriminellen Gruppen. All dies erhöht die Angriffsfläche, nicht nur für die Universität, sondern für jede Institution, die Verbindungen zu Mitgliedern ihrer Gemeinschaft unterhält.
Sensible interne Dokumente und zusätzliche Kontroversen
Der Angriff beschränkte sich nicht auf die Extraktion personenbezogener Daten. Zu den Dateien, die Berichten zufolge offengelegt wurden, gehörten auch interne Dokumente der Koordinierungsstelle für Vernetzung und Technologietransfer (CVTT), verantwortlich für das Management von Patenten und Innovationsprojekten an der Universität.
Den durchgesickerten Informationen zufolge hätte UNAM bis 2025 wurde ein Preis für ein Patent im Bereich der Zahnregeneration verliehen, obwohl dies bereits geschehen war Im Juni 2024 als Plagiat gemeldet.Das Auftauchen dieser Dokumente im Kontext des Cyberangriffs trägt dazu bei Reputationsdimension zu dem Vorfall, indem potenziell kontroverse interne Entscheidungen zur Sprache gebracht werden.
Das Durchsickern dieser internen Dateien verdeutlicht das Ausmaß des Zugriffs, den die Angreifer hatten. sensible DokumentenablagenÜber einfache operative Datenbanken hinaus. Sollte das Material vollständig verbreitet werden, könnten neue Kontroversen entstehen, die sowohl die zentrale Verwaltung als auch spezifische Forschungsgruppen betreffen.
Diese Art von Folgewirkungen wurde bereits in anderen Fällen an europäischen Universitäten beobachtet, wo Sicherheitsverstoss Letztendlich haben sie vertrauliche Berichte, Vertragsentwürfe und Dokumente im Zusammenhang mit geistigem Eigentum offengelegt, was einen Dominoeffekt ausgelöst hat, der über das rein technische Problem hinausgeht.
Offizielle Stellungnahme der UNAM und öffentliche Wahrnehmung
Angesichts der Informationsflut über den Vorfall, DGTIC der UNAM Es veröffentlichte eine Erklärung, in der es einräumte, dass „unbefugtes Eindringen“ in ihren Systemen. Die offizielle Mitteilung beharrte jedoch darauf, dass der Angriff betrafen nur fünf der mehr als 100.000 Computersysteme Die Universität verfügt über eine Zahl, die im Gegensatz zu dem durch die Leaks beschriebenen Ausmaß steht.
Die Institution behauptete, die Computersicherheitsprotokollewas Folgendes umfasst hätte: präventive Abschaltung kompromittierter Systeme und die Überprüfung der betroffenen Dienste. Der Mangel an konkreten Details über die Art der offengelegten Daten und die tatsächliche Anzahl der Betroffenen hat jedoch die Wahrnehmung verstärkt, dass die offizielle Reaktion übervorsichtig, wenn nicht gar unzureichend sein könnte.
Unterdessen haben Cybersicherheitsexperten die Notwendigkeit betont, dass die Universität entsprechende Angebote machen muss. klare und transparente Informationen ihrer Gemeinschaft, einschließlich konkreter Empfehlungen für die Passwortverwaltung, Überwachung von Banktransaktionen und die Erkennung potenzieller Identitätsdiebstahlversuche. Ohne klare Kommunikation sind sich viele Nutzer des Ausmaßes des Risikos, dem sie ausgesetzt sind, immer noch nicht bewusst.
Parallel dazu sind Debatten über das Modell von entstanden. Technologische Governance innerhalb der Institution, die Zuweisung von personellen und finanziellen Ressourcen für digitale Sicherheit und die Rolle der Universitätsbehörden in diesem Zusammenhang Investitionen in diesem Bereich priorisierenEine Debatte, die derjenigen sehr ähnlich ist, die zahlreiche Universitäten in Spanien und dem übrigen Europa seit Jahren führen.
Diese ganze Episode unterstreicht die Wichtigkeit von stabile, gut bezahlte technische Teams mit Handlungsspielraumsowie die kontinuierliche Aktualisierung von Richtlinien und unabhängige Prüfungen, Elemente, die, wenn sie versagen, die Tür für schwerwiegende Zwischenfälle wie den derzeit die UNAM erschütternden öffnen können.
Der Fall wirft eine Reihe unbeantworteter Fragen über das wahre Ausmaß des massiver CyberangriffDie Menge an Daten, die bereits in Cyberkriminalitätsforen kursiert, und die tatsächliche Fähigkeit der Universität, das Vertrauen ihrer Gemeinschaft wiederherzustellen, sind entscheidend. Wenn heute überhaupt etwas klar ist, dann dies: Die Institution muss ihre Sicherheitsvorkehrungen grundlegend stärken. Cybersicherheitsstrategie und deren Kommunikation mit Studierenden und Mitarbeitern in einem internationalen Kontext, in dem Universitäten sowohl in Lateinamerika als auch in Europa zu einem vorrangigen Ziel für digitale Angreifer geworden sind.
