El campus como puerta trasera: la nueva geografía del ciberataque

Primero fue el silencio en los sistemas de nómina. Luego, un error en la consola de recursos humanos que nadie reportó. Después, el acceso administrativo completo a las bases de datos financieras de una universidad entera. Para cuando el equipo de seguridad detectó el movimiento lateral, los atacantes ya habían plantado agentes de administración remota disfrazados de servicios legítimos. El año es 2026 y el campo de batalla favorito de los ciberdelincuentes ya no es la gran corporación blindada, sino el ecosistema académico —abierto, confiado, vulnerable.

Esta semana, el panorama de amenazas nos entregó una lección incómoda. Un ataque de día cero contra Oracle PeopleSoft, aprovechado por el grupo ShinyHunters, demostró que los sistemas empresariales más comunes —esos que gestionan desde sueldos hasta cadenas de suministro— pueden convertirse en el eslabón más débil. La vulnerabilidad CVE-2026-35273 en el componente de Gestión de Entornos permitió a los intrusos ejecutar comandos administrativos sin autenticación y, lo más inquietante, instalar agentes personalizados de MeshCentral para mantener acceso persistente durante semanas.

La inteligencia de Globel, rastreada por los equipos de Google Threat Intelligence y Mandiant, reveló que el 68% de las más de 100 organizaciones afectadas pertenecen al sector de educación superior. No es casualidad. Las universidades operan con presupuestos ajustados, priorizan la apertura académica sobre la seguridad perimetral y albergan datos que son oro puro: registros de estudiantes, investigaciones financiadas, información fiscal de empleados y, en muchos casos, acceso a redes de investigación gubernamentales. El ataque a la Universidad de Nottingham comprometió datos de más de 450,000 personas, incluyendo números de pasaporte y direcciones de correo electrónico.

Ransomware con pedigrí: Gentlemen y la economía del caos

Mientras los ataques a PeopleSoft mostraban la sofisticación de la puerta trasera, otra amenaza crecía bajo el radar corporativo. Gentlemen, la operación de ransomware dirigida por el grupo LARVA-368, ya ha reclamado 478 víctimas desde marzo de 2025. Su modus operandi es tan eficiente como brutal: explotan vulnerabilidades conocidas (CVE-2024-55591, CVE-2025-32433, CVE-2025-33073) para obtener acceso inicial y luego despliegan un arsenal de herramientas internas bautizadas con ironía —TaskHound, PrivHound, CertiHound— para escalar privilegios y evadir defensas.

Lo que hace diferente a Gentlemen no es solo su tasa de éxito, sino su modelo de negocio. La filtración de su base de datos interna de Rocket.Chat dejó al descubierto una estructura afiliada casi corporativa: manuales de operación, acuerdos de reparto de ganancias y hasta foros de soporte técnico para sus miembros. El ransomware utiliza un esquema híbrido de encriptación basado en X25519 y XChaCha20, limpia los registros de eventos de Windows y desactiva Microsoft Defender antes de comenzar el cifrado. Reino Unido, Alemania y otras economías europeas han sido los blancos principales, pero el alcance global de la operación sugiere que ningún sector está seguro.

Y si la infraestructura educativa y las empresas europeas eran vulnerables, imagina el riesgo para las cadenas de suministro mexicanas. Con una dependencia creciente de sistemas heredados y una adopción parcial de parches de seguridad, el ecosistema empresarial en México —desde manufactureras hasta firmas de servicios financieros— presenta un perfil de riesgo que los operadores de ransomware ya están explotando en otras regiones.

El envenenamiento silencioso: Solana FakeFix y la cadena de suministro de software

Pero el ataque más insidioso de los últimos días no viene de un exploit complejo ni de un ransomware ruidoso. Viene de un lugar donde los desarrolladores depositan su confianza a diario: los repositorios de paquetes de código abierto. Solana FakeFix es una campaña de envenenamiento de la cadena de suministro que ha logrado colar 16 paquetes maliciosos en npm y 4 en PyPI, haciéndose pasar por herramientas legítimas del ecosistema Solana.

Los nombres de los paquetes son engañosamente familiares: @solana-labs/web3.js, @solana-labs/spl-toke, solana-web3-stable, solana-rpc-client. Todos promocionados como "correcciones estables de compilación" a través de spam en issues de GitHub, publicados por la cuenta PassWord1337. Al instalarse, ejecutan código malicioso que roba llaves de wallets de Solana, claves SSH y credenciales de AWS. El ataque está diseñado para propagarse a través de tuberías de integración continua (CI) y entornos compartidos, convirtiendo una simple actualización de dependencia en una brecha masiva de seguridad.

Lo más preocupante: la campaña ha evolucionado. Lo que comenzó como puertas traseras simples se ha transformado en bibliotecas trojanizadas que insertan código malicioso dentro de paquetes legítimos de JavaScript, haciendo casi imposible la detección mediante análisis superficiales. Para cualquier startup mexicana que esté construyendo sobre Solana, Ethereum o cualquier ecosistema blockchain, este es un recordatorio brutal de que la seguridad no termina en el firewall corporativo: empieza en el package.json.

• Lección 1: La educación superior es el nuevo vector preferido de ataque. La confianza académica no debe traducirse en laxitud en seguridad.
• Lección 2: El ransomware ya no es solo un secuestro de datos; es una economía paralela con estructura corporativa, soporte técnico y canales de afiliados.
• Lección 3: La seguridad de la cadena de suministro de software debe ser una prioridad de negocio, no solo una preocupación del equipo de desarrollo.

El futuro no está en el parche, sino en la inteligencia proactiva

Lo que estos tres frentes —PeopleSoft, Gentlemen, Solana FakeFix— tienen en común es una verdad incómoda: la ciberseguridad reactiva ha muerto. Cada uno de estos ataques explotó no solo vulnerabilidades técnicas, sino confianzas institucionales: la confianza en que un sistema universitario está bien segmentado, la confianza en que un socio de canal está actualizado, la confianza en que un paquete de npm es lo que dice ser.

En Globel México, hemos visto cómo las organizaciones más resilientes no son las que tienen más firewalls, sino las que han integrado inteligencia de amenazas en tiempo real en su toma de decisiones. El monitoreo pasivo ya no es suficiente cuando los atacantes pueden pasar de una vulnerabilidad de PeopleSoft a una exfiltración completa en cuestión de días. La pregunta que todo CISO, director de tecnología o emprendedor debe hacerse no es "¿me van a atacar?", sino "¿cuánto tiempo pasará entre el primer acceso no autorizado y mi capacidad de detectarlo?".

Porque si 2026 nos ha enseñado algo, es que los atacantes ya no buscan entrar por la puerta principal. Están entrando por las aulas, por las dependencias de código abierto y por las credenciales de desarrolladores que solo querían hacer un build rápido. La defensa, entonces, debe ser igual de ubicua, igual de inteligente y, sobre todo, mucho más rápida.

En Globel México seguimos rastreando cada uno de estos incidentes. No para asustar, sino para preparar. Porque la seguridad no se logra con un solo parche, sino con una cultura de vigilancia inteligente. Y eso, en 2026, es la única ventaja real que podemos tener.