Clop roba datos de 3,5 millones en la Universidad de Phoenix

La banda de ransomware Clop, una de las organizaciones de ciberdelincuencia más activas y sofisticadas de los últimos años, ha vuelto a protagonizar uno de los mayores incidentes de seguridad del sector educativo en Estados Unidos. En esta ocasión, el grupo logró robar datos personales y financieros de casi 3,5 millones de estudiantes, empleados y proveedores de la Universidad de Phoenix (UoPX) tras comprometer su infraestructura tecnológica en agosto.

Con sede en Phoenix, Arizona, la Universidad de Phoenix es una institución privada con ánimo de lucro fundada en 1976, que cuenta con más de 100.000 estudiantes matriculados y cerca de 3.000 miembros del personal académico, lo que convierte este incidente en una de las filtraciones de datos más graves registradas en el ámbito universitario en 2025.

Divulgación oficial del incidente y notificación a reguladores

A principios de diciembre, la universidad hizo público el ataque a través de su sitio web oficial. De forma paralela, Phoenix Education Partners, la empresa matriz de UoPX, presentó un formulario 8-K ante la Comisión de Bolsa y Valores de Estados Unidos (SEC), cumpliendo con los requisitos regulatorios para incidentes de seguridad con impacto material.

Según la información proporcionada, la institución detectó la brecha el 21 de noviembre, curiosamente después de que Clop añadiera a la universidad a su sitio de filtración de datos, una táctica habitual del grupo para presionar a las víctimas mediante extorsión pública.

Explotación de una vulnerabilidad zero-day en Oracle EBS

UoPX confirmó que los atacantes explotaron una vulnerabilidad zero-day en Oracle E-Business Suite (EBS), una plataforma ampliamente utilizada para la gestión financiera y administrativa en grandes organizaciones. Esta vulnerabilidad, identificada posteriormente como CVE-2025-61882, fue utilizada por Clop desde principios de agosto de 2025 como parte de una campaña coordinada para el robo masivo de datos.

El ataque permitió a los ciberdelincuentes acceder sin autorización a información altamente sensible, incluyendo:

• Nombres completos y datos de contacto
• Fechas de nacimiento
• Números de la Seguridad Social
• Números de cuentas bancarias y códigos de ruta
• Información financiera de estudiantes, empleados, docentes y proveedores actuales y antiguos

En un comunicado oficial, la universidad reconoció que un "tercero no autorizado obtuvo cierta información personal y financiera", confirmando la gravedad del incidente y el alto riesgo de fraude, robo de identidad y abuso financiero para las personas afectadas.

Casi 3,5 millones de personas impactadas

El alcance real del ataque se conoció días después, cuando la Universidad de Phoenix presentó cartas de notificación ante la Oficina del Fiscal General de Maine y comenzó a enviar avisos por correo a los afectados. En estos documentos se reveló que 3.489.274 personas vieron comprometidos sus datos personales.

Andrea Smiley, vicepresidenta de Relaciones Públicas de la universidad, declaró que la institución se encontraba revisando los datos afectados y que proporcionaría las notificaciones correspondientes tanto a las personas impactadas como a los organismos reguladores.

Medidas de mitigación y protección ofrecidas

Como parte de su respuesta al incidente, UoPX anunció la oferta de servicios gratuitos de protección de identidad, entre los que se incluyen:

• 12 meses de monitorización de crédito
• Servicios de recuperación ante robo de identidad
• Monitorización en la dark web
• Una póliza de reembolso por fraude de hasta 1 millón de dólares

Estas medidas buscan reducir el impacto inmediato del ataque, aunque expertos en ciberseguridad advierten que los riesgos asociados a la exposición de datos tan sensibles pueden persistir durante años.

Una campaña más en el historial de Clop

Aunque la universidad no ha atribuido oficialmente el ataque a un actor concreto, los indicadores técnicos, el método de extorsión y el uso de una vulnerabilidad zero-day en Oracle EBS encajan perfectamente con el modus operandi de Clop.

Esta campaña forma parte de una serie de ataques similares en los que el grupo ha comprometido a múltiples universidades estadounidenses, incluidas la Universidad de Harvard y la Universidad de Pensilvania, que también confirmaron brechas relacionadas con Oracle EBS y la exposición de datos de estudiantes y personal.

Clop no es ajena a operaciones de gran escala. En el pasado, el grupo ha estado detrás de campañas masivas de robo de datos que explotaron plataformas empresariales como Accellion FTA, GoAnywhere MFT, MOVEit Transfer, Cleo y, más recientemente, Gladinet CentreStack, consolidándose como una de las mayores amenazas para organizaciones que dependen de software empresarial crítico.

Recompensa del gobierno de EE. UU. y contexto más amplio

La magnitud y persistencia de los ataques ha llevado al Departamento de Estado de Estados Unidos a ofrecer una recompensa de hasta 10 millones de dólares por información que permita vincular las operaciones de Clop con un gobierno extranjero, lo que refuerza las sospechas sobre posibles patrocinios estatales o colaboración indirecta.

Paralelamente, desde finales de octubre, otras universidades estadounidenses han sufrido incidentes adicionales, incluidos ataques de phishing por voz (vishing). Instituciones como Harvard, la Universidad de Pensilvania y la Universidad de Princeton confirmaron que sistemas relacionados con actividades de desarrollo y antiguos alumnos fueron comprometidos para robar información personal de donantes, estudiantes y personal académico.

Un aviso crítico para el sector educativo

Este incidente pone de relieve una realidad cada vez más preocupante: las universidades se han convertido en objetivos prioritarios para el ransomware y la extorsión de datos, debido a la enorme cantidad de información sensible que gestionan y a la complejidad de sus entornos tecnológicos.

La explotación de vulnerabilidades zero-day en software empresarial crítico como Oracle EBS demuestra la necesidad urgente de mejorar la gestión de parches, la monitorización proactiva y las estrategias de defensa en profundidad para reducir el riesgo de ataques similares en el futuro.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login