Volver

Article

7 may 2026

Confirmado: Datos de Harvard, Zara, Udemy y Decenas de Empresas Más Fueron Filtrados

Durante una revisión de infraestructura vinculada a operaciones de extorsión digital, identificamos un directorio público con referencias a filtraciones de Harvard, Udemy, Zara, Amtrak y decenas de organizaciones más. El patrón que encontramos cambia la forma en que hay que pensar el riesgo digital.

Durante una revisión reciente de infraestructura vinculada a operaciones de extorsión digital, identificamos un directorio públicamente accesible que contenía referencias a presuntas filtraciones asociadas a múltiples organizaciones globales.

El hallazgo no es excepcional. El patrón que reveló, sí.

Lo que encontramos

Entre los nombres observados aparecían instituciones educativas, plataformas SaaS, empresas de retail, fintech y transporte:

  • Harvard University

  • University of Pennsylvania

  • Udemy

  • Infinite Campus

  • Vimeo

  • Amtrak

  • Zara

  • ADT

  • McGraw-Hill

  • Cushman & Wakefield

  • SoundCloud

  • Panera Bread

  • Carnival Corporation

Junto a los nombres, la infraestructura exponía timestamps de publicación, tamaños estimados de archivos, nomenclaturas de campañas de extorsión y referencias a supuestos SQL dumps y archivos comprimidos de gran escala. Algunos archivos anunciados superaban los cientos de gigabytes, lo que sugiere exfiltraciones orientadas no solo al cifrado de datos, sino a la presión reputacional y la exposición pública sostenida.

La extorsión moderna no depende de "hackear"

Este es el cambio más importante que muchas organizaciones aún no han internalizado.

El modelo clásico era simple: comprometer sistemas, cifrar datos, exigir rescate. Hoy ese modelo es solo una variante dentro de un ecosistema mucho más amplio.

Muchas organizaciones terminan expuestas no por un ataque directo sofisticado, sino por vectores mucho más silenciosos:

  • Terceros comprometidos con acceso legítimo a sus sistemas

  • Credenciales reutilizadas filtradas en brechas anteriores no relacionadas

  • Infraestructura olvidada: subdominios, instancias cloud, APIs sin deprecar

  • Integraciones SaaS mal gestionadas con permisos excesivos o sin auditar

  • Accesos heredados de empleados desvinculados o proyectos cerrados

  • Exceso de información pública disponible para enriquecer ataques de ingeniería social

Ninguno de estos vectores requiere explotar una vulnerabilidad de día cero. Requieren paciencia y reconocimiento.

El daño reputacional empieza antes de que salga un solo dato

Este es el aspecto que más frecuentemente se subestima en los análisis de riesgo tradicionales.

En el modelo de extorsión moderno —a veces llamado double extortion o name-and-shame— el impacto operativo no comienza cuando los datos aparecen públicamente. Comienza mucho antes, con acciones que son difíciles de refutar y casi imposibles de revertir:

  • Mencionar públicamente a la organización en foros de actores maliciosos

  • Asociarla a un incidente con metadata aparentemente verificable

  • Publicar capturas de supuestos paneles de administración

  • Anunciar volúmenes de información comprometida con suficiente detalle para parecer creíble

Con eso alcanza. La presión operativa es inmediata: clientes preguntan, reguladores observan, socios internos escalan, y el equipo de seguridad entra en modo reactivo antes de tener claridad sobre qué ocurrió realmente.

En algunos casos documentados, organizaciones han pagado rescates o implementado planes de crisis completos basándose en anuncios que luego resultaron ser parcialmente fabricados o significativamente exagerados.

La pregunta que importa hoy

La pregunta ya no es solo "¿nos comprometieron?"

La pregunta relevante es:

¿Cuánto contexto tiene internet sobre tu organización hoy?

¿Qué ve un actor malicioso cuando busca tu empresa, tus empleados clave, tus sistemas expuestos, tus proveedores críticos? ¿Qué filtraciones históricas incluyen correos de tu dominio? ¿Qué subdominios o instancias olvidadas son accesibles? ¿Qué información sobre tu infraestructura está indexada sin que lo sepas?

Ese inventario —visto desde afuera, con los mismos recursos que usa quien quiere hacer daño— es el punto de partida para cualquier estrategia de seguridad que aspire a ser proactiva.

Qué hacemos en Tracewise

En Tracewise ayudamos a empresas y profesionales a mapear exactamente eso: qué información sobre ellos ya es visible desde internet, terceros, filtraciones históricas y superficie digital expuesta, antes de que alguien más la utilice en su contra.

No esperamos a que ocurra un incidente para empezar a buscar. Porque para entonces, el contexto ya existe, ya circula, y ya puede estar siendo utilizado.

Si quieres saber qué ve internet sobre tu organización hoy, contáctanos.

© 2026 Tracewise™. Todos los derechos reservados.