Sign in
Vigilancia

Chantaje digital: cuando tus datos se convierten en rehenes

Chantaje digital: cuando tus datos se convierten en rehenes

En el imaginario colectivo, el chantaje digital suele asociarse a pantallas bloqueadas y mensajes amenazantes que exigen un pago para recuperar el acceso a los sistemas. Sin embargo, en el entorno universitario y corporativo actual, el riesgo más crítico suele ser el más silencioso. No hay equipos inutilizados ni plataformas caídas; todo parece funcionar con normalidad mientras, de forma invisible, los datos ya han sido secuestrados.

Esta modalidad, cada vez más frecuente, se basa en una premisa sencilla pero devastadora: “Si no pagas, publicamos tu información”. En este escenario, el atacante no busca paralizar el servicio, sino copiar contenido confidencial y esperar el momento oportuno. Para una institución educativa, que custodia datos académicos, personales, laborales y proyectos de investigación, el impacto reputacional y legal de una filtración es incalculable.

Abordar este riesgo no es una cuestión de alarmismo, sino de responsabilidad institucional. El verdadero valor de la Universidad no reside solo en sus infraestructuras o sistemas, sino en la confianza depositada por estudiantes, profesorado y personal. Proteger esa confianza depende, hoy más que nunca, de la rigurosidad con la que custodiamos la información.

Cuando no hay bloqueo, pero sí amenaza: la doble extorsión

En los últimos años, ha cobrado fuerza una modalidad de ataque conocida como doble extorsión. El concepto es directo: antes de bloquear los sistemas (o incluso sin llegar a hacerlo), los atacantes extraen información crítica. Expedientes académicos, actas de evaluación, nóminas, correos internos o documentos de investigación; todo aquello que, de hacerse público, desencadenaría un problema legal y reputacional inmediato.

Lo más peligroso es la invisibilidad: la Universidad puede no detectar ninguna anomalía durante semanas. El acceso indebido no siempre genera errores técnicos; el correo funciona, el campus virtual está activo y la actividad diaria prosigue. Sin embargo, en segundo plano, se ha exfiltrado una copia de información sensible que nunca debió abandonar nuestros servidores.

El chantaje se manifiesta cuando el atacante ya posee la ventaja competitiva. En este punto, la amenaza no es la interrupción del trabajo, sino la pérdida de la privacidad: “esto se hará público”. Para una institución académica, la exposición de datos personales o comunicaciones internas conlleva consecuencias humanas y legales de una magnitud difícil de gestionar.

Un escenario plausible en el campus

Imaginemos una situación verosímil: un acceso no autorizado permite copiar listados de estudiantes con calificaciones provisionales o adaptaciones académicas sensibles. O quizás, correos electrónicos sobre decisiones estratégicas y procesos internos. No es necesario borrar ni alterar un solo archivo; el simple hecho de poseer una copia otorga al atacante el control total sobre la narrativa.

Si esta información sale a la luz, la reacción es en cadena: inquietud en las familias, desconfianza en el alumnado, preocupación del personal y la apertura de procesos sancionadores. Es un desgaste masivo de la credibilidad institucional, ocurrido sin que el sistema haya mostrado un "fallo" técnico tradicional.

Este tipo de ataques apunta directamente al activo más valioso de la Universidad: la confianza. Más que un centro de servicios digitales, la Universidad es una comunidad cimentada en la confidencialidad y el respeto. Vulnerar los datos no es solo un incidente técnico; es un ataque directo al vínculo que nos une como institución.

¿Por qué una Universidad es un objetivo estratégico?

Las instituciones académicas concentran una diversidad de información excepcional: datos personales de miles de estudiantes, historiales académicos, registros laborales, resultados de investigaciones protegidas y comunicaciones estratégicas. En Comillas, como en cualquier campus de vanguardia, el uso intensivo de dispositivos personales, el trabajo remoto y la colaboración internacional amplían nuestra "superficie de exposición".

Trabajamos desde aulas, bibliotecas, hogares o durante viajes académicos; accedemos al correo desde el móvil y compartimos documentos en la nube. Esta movilidad es esencial para el progreso académico, pero exige una corresponsabilidad en la protección de la información. Los atacantes saben que el impacto de una filtración no es solo técnico, sino profundamente institucional y humano, y cuentan con que esa presión fuerce decisiones precipitadas.

La detección temprana: el factor decisivo

El mayor reto de la extorsión silenciosa es identificarla antes de que el daño sea irreversible. No se trata de que cada usuario sea un experto en ciberseguridad, sino de que aprenda a reconocer señales de alerta que podrían parecer irrelevantes:

  • Alertas de inicio de sesión: Avisos desde ubicaciones inusuales o en horarios imprevistos.
  • Cambios de permisos: Documentos compartidos o carpetas en la nube que muestran accesos de terceros no autorizados.
  • Comportamientos anómalos: Lentitud extrema en aplicaciones específicas o desaparición de archivos.
  • Actividad sospechosa en el correo: Mensajes enviados que no recordamos haber redactado o cambios en las reglas de reenvío.

Cualquier indicio, por pequeño que parezca, debe comunicarse de inmediato a través de los canales oficiales del STIC. Cuanto antes se detecte una intrusión, mayor es nuestra capacidad para limitar el alcance, proteger los datos y neutralizar la amenaza antes de que se materialice. En ciberseguridad, el tiempo es nuestro recurso más valioso.

Corresponsabilidad: el papel de la comunidad universitaria

Aunque la respuesta técnica recae en los equipos especializados, la prevención y la detección temprana son una responsabilidad compartida. Las decisiones cotidianas son nuestra primera línea de defensa: desde cómo compartimos un documento y a quién otorgamos acceso, hasta la seguridad del dispositivo desde el que consultamos el correo institucional.

Ciertas prácticas, a menudo por comodidad, pueden facilitar el trabajo de los atacantes. Reutilizar contraseñas personales en servicios de la Universidad, aceptar solicitudes de acceso a carpetas sin verificar el origen o retrasar el aviso de una incidencia por considerarla "insignificante", permite que una intrusión permanezca oculta. No se trata de vivir en una desconfianza constante, sino de cultivar una cultura de cuidado colectivo.

Del mismo modo que cerramos con llave un despacho al salir o no dejamos expedientes sensibles en zonas comunes, en el entorno digital debemos aplicar el mismo sentido común y rigor.

Gestión de crisis: actuar con determinación ante la amenaza

Si, a pesar de las medidas preventivas, se produce una filtración o una amenaza creíble de publicación, la respuesta debe ser coordinada, profesional y transparente. En ciberseguridad, la improvisación suele agravar el impacto. La Universidad dispone de protocolos de gestión de crisis que integran la comunicación interna, el apoyo legal y el soporte a las personas que puedan verse afectadas.

Es fundamental entender que intentar resolver una incidencia de forma individual o intentar ocultarla suele ser contraproducente. Ante cualquier sospecha de compromiso de datos o chantaje:

  • No cedas al chantaje: El pago nunca garantiza la eliminación de los datos.
  • Informa de inmediato: Los canales oficiales del STIC son tu punto de referencia y apoyo.
  • Sigue las pautas oficiales: Una respuesta unificada protege la reputación de la institución y la privacidad de todos sus miembros.

Informar a tiempo no es señalar un error; es proteger a nuestra comunidad y garantizar que la Universidad siga siendo un espacio seguro para el aprendizaje y la investigación.

Proteger los datos es proteger a las personas

Hablar de chantaje digital puede parecer un concepto abstracto hasta que analizamos sus consecuencias reales. Detrás de cada registro hay una persona: un estudiante con sus metas, un investigador con años de esfuerzo o un profesional con su derecho a la privacidad. La exposición no autorizada de esta información no es solo un fallo técnico; es una vulneración que afecta a la intimidad, a la trayectoria profesional y al bienestar emocional de nuestra comunidad.

Por ello, más allá de los cortafuegos y los protocolos, la ciberseguridad en nuestra Universidad posee una dimensión profundamente humana. Custodiar los datos es, en última instancia, una forma de cuidar a las personas que dan vida a nuestra institución.

En este 2026, el riesgo no siempre se manifestará con pantallas bloqueadas o mensajes estridentes. La mayor amenaza llegará en silencio, bajo la promesa de hacer público aquello que pertenece a la esfera privada del campus. Estar prevenidos, reconocer las señales a tiempo y actuar con una respuesta coordinada es nuestra mejor defensa para garantizar que la información de nuestra comunidad nunca se convierta en moneda de cambio.

Read next