La Universitat de Harvard ha reconegut una nova violació de dades que afecta la seva oficina d'Alumni Affairs and Development, després d'un atac de suplantació (phishing a través de trucades telefòniques) que va permetre a una part no autoritzada accedir als sistemes interns. Aquest incident posa de manifest com fins i tot les institucions acadèmiques d'elit no estan exemptes dels riscos de l'enginyeria social, i subratlla la urgència de reforçar els controls interns i la ciberseguretat en l'entorn educatiu.

Què ha passat?

L'atac es va detectar el 18 de novembre de 2025, quan Harvard va identificar l'accés irregular als sistemes de la seva oficina d'Alumni Affairs and Development. L'accés de l'intrús es va revocar immediatament, es van bloquejar sistemes compromesos i es van activar protocols de resposta amb experts externs i autoritats competents.

Segons la universitat, l'origen de l'incompliment no va ser una fallada tècnica, sinó més aviat una maniobra “vishing” —és a dir, una trucada fraudulenta destinada a enganyar el personal per obtenir credencials o autorització d'accés.

Quin tipus d'informació hauria estat compromesa

Tot i que fins ara totes les dades afectades no han estat revelades amb precisió, Harvard ha confirmat que els sistemes infraccionats emmagatzemats:

  • Adreces de correu electrònic.
  • Números de telèfon.
  • Adreces personals o professionals (adreces).
  • Historial d'assistència a l'esdeveniment.
  • Registres de donacions (dates, quantitats, donants).
  • Informació biogràfica i de contacte relacionada amb campanyes de captació de fons, exalumnes, donants, familiars d'estudiants, personal o antic personal.

Harvard ha aclarit que no hi ha proves que s'hagin compromés dades com números de la Seguretat Social, contrasenyes, targetes de pagament o comptes bancaris.

Qui es podria veure afectat?

La informació presentada podria pertànyer a diferents col·lectius vinculats a la universitat, entre els quals destaquen:

  • Alumnes de Harvard.
  • Donants i les seves famílies o socis
  • Pares d'alumnes actuals o antics.
  • Alguns estudiants actuals.
  • Membres del personal docent o administratiu.
  • Familiars del personal vinculat a la universitat.

Donat el volum d'antics alumnes, donants i individus vinculats a Harvard, l'impacte potencial és significatiu.

Un atac d'enginyeria social: Vishing com a mètode privilegiat

Aquest incident a Harvard posa de manifest l'eficàcia del mètode vishing: trucades telefòniques fraudulentes que enganyen el personal fent-se passar per trucadors legítims, per tal d'obtenir credencials o autorització per entrar en sistemes interns.

Més enllà de les vulnerabilitats tècniques, el vincle humà —el personal— segueix sent un dels punts més febles pel que fa a la seguretat. En entorns amb informació sensible (com universitats amb grans antics alumnes i bases de dades de donants), aquests atacs poden tenir greus conseqüències.

Institucions educatives en el punt de mira

La bretxa a Harvard no es produeix aïlladament. En els últims mesos, diverses universitats de prestigi han informat d'incidents similars que impliquen dades d'antics alumnes, donants, estudiants o personal.

Per als ciberdelinqüents, aquests centres representen objectius atractius: grans volums de dades personals i de contacte, múltiples perfils (alumnes, donants, famílies, personal), i estructures amb processos complexos de gestió de la informació.

Què et recomanem de Apolo Cybersecurity

Per a institucions acadèmiques —i en general organitzacions amb dades sensibles i múltiples perfils de relació— suggerim implementar les mesures següents:

  • Formació i sensibilització en enginyeria social, especialment per al personal amb accés a sistemes crítics: reconèixer tàctiques de vishing, verificar sempre la identitat de la persona que truca, protocols d'autorització.
  • Polítiques de “mínim privilegi”: concedir accés només a aquells que ho necessitin, i amb un control estricte.
  • Autenticació forta i verificació externa: ús de multi-factor, verificació independent de sol·licituds d'accés crític, doble comprovació per telèfon o presencialment.
  • Seguiment actiu d'accessos i registres: per detectar comportaments inusuals ràpidament.
  • Plans clars de resposta a incidències: definir què fer en cas de compromís, notificació, contenció, recuperació.
  • Segmentació de sistemes sensibles: aïllar bases de dades amb informació crítica d'altres sistemes menys sensibles, per limitar l'abast en cas d'incompliment.

Les trucades no enderroquen defenses tècniques, sinó defenses humanes: protegeix la teva organització del vishing i el phishing

L'atac vishing contra Harvard demostra que no hi ha organització invulnerable si es subestima la dimensió humana de la seguretat. Per a institucions amb dades sensibles i relacions complexes —com universitats, fundacions, organitzacions amb donants— l'enginyeria social és un risc real que requereix una protecció integral.

A Apolo Cybersecurity, estem preparats per ajudar-te a auditar els teus sistemes, formar el teu equip, implementar controls robustos i dissenyar una estratègia de defensa davant amenaces tant tècniques com humanes.

Contacta amb nosaltres i enforteix la teva seguretat digital abans que sigui massa tard.

Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Gestionar la seva sol·licitud i respondre al seu missatge.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa a la nostra Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer de Sant Joan de la Salle 42, Barcelona, Espanya
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookies
Privacy Settings
Copyright © 2025 Apollo Cybersecurity