¡Hackean a la UNAM y exponen información sensible!
La UNAM sufrió un hackeo masivo, de acuerdo al periodista Ignacio Gómez Villaseñor, que el 7 de enero de 2026 en la red social X detalló cómo la entidad ByteToBreach se adueñó del “server” y tuvo acceso a datos de más de 300 mil alumnos y expuso documentos sensibles.
De acuerdo a la información, un oficio de la Abogacía General menciona que el 13 de marzo de 2025 se detectó un primer acceso ilícito a los sistemas de la Secretaría de Desarrollo Industrial (SDI); por lo que ya se tenían antecedentes de intentos de hackeo. La universidad denunció los hechos ante la Fiscalía General de la República (FGR); sin embargo, en agosto de 2025, la FGR pidió a la Unidad Administrativa de la SDI que proporcionara pruebas periciales reales en 5 días o daría el caso por cerrado.
Para complicar las cosas, mientras la FGR pedía las pruebas periciales, el equipo encargado de la tecnología estaba trabajando bajo protesta, pues llevaban meses sin cobrar su sueldo debido a “procesos de auditoría”, como se menciona en una carta del 19 de septiembre de 2025 firmada por el personal de la Coordinación de Proyectos Tecnológicos (CPTI). El periodo de esta situación laboral coincide con la vulnerabilidad que permitió el hackeo masivo que ocurrió a finales de año, que aprovechó los retrasos administrativos que generaron fallas de mantenimiento crítico.
El resultado del hackeo: Los balanceadores de carga F5 (Dispositivos que distribuyen el tráfico de red entre múltiples servidores) fueron comprometidos debido a que la UNAM dejó llaves SSH privadas (métodos de autenticación) expuestas en sus equipos. De esta forma, se obtuvo control sobre el tráfico de red de las facultades y del periódico La Jornada, que se aloja en servidores de la UNAM. Además, se logró acceso con privilegios de administrador al directorio LDAP que dejó expuestas matrículas, correos y contraseñas de más de 380 mil alumnos y académicos; esto permitió a los atacantes leer correos electrónicos confidenciales de altos funcionarios, incluyendo comunicaciones directas de la oficina del Rector.
De acuerdo al periodista, entre los correos filtrados se encuentran algunos que confirman que la Junta de Gobierno de la UNAM tenía conocimiento de denuncias graves contra Constantino Macías García, director de la sede de la UNAM en Canadá, por presunto acoso laboral, conductas inapropiadas y alcoholismo. Debido a la inacción de la UNAM, las víctimas decidieron llevar el asunto ante autoridades locales en Ottawa, así como medios de comunicación locales y mexicanos.
Otro caso encontrado en los documentos obtenidos es el de una denuncia de plagio y fraude del premio PROFOPI. En 2025 la UNAM premió una patente sobre regeneración dental que ya había sido denunciada como plagio en 2024. En un documento, el Dr. Higinio Arzate presentó pruebas de que su exalumno registró esta invención a su nombre, pese a que había firmado cartas de confidencialidad y reconociendo que era propiedad de la UNAM.
Finalmente, el periodista menciona otros documentos filtrados como los que narran la denuncia contra un operador del Pumabús que fue señalado de tener conductas peligrosas que comprometen la integridad de los pasajeros y al cual no se ha sancionado debido a la protección del sindicato de la UNAM.
Por su parte, la UNAM emitió un comunicado el día 7 de enero de 2026 confirmando que 5 de sus sistemas informáticos sufrieron un hackeo en el periodo vacacional y que los sistemas correspondientes habían sido inhabilitados. A pesar de lo mencionado por Ignacio Gómez, la UNAM menciona que no hay indicios de extracción de información de datos personales del alumnado o del personal académico y administrativo. La UNAM ya se encuentra coordinando acciones con las autoridades de ciberseguridad para presentar las denuncias correspondientes.
La Universidad no ha mencionado qué datos e información sí fueron hackeadas y, seguramente, veremos filtraciones de esta información en el futuro.
