Durante el fin de semana que pasó, Diario Mendoza Today reveló que un grupo de hackers habían vandalizado la página web de la UNCuyo y ofrecían “modificar” datos de alumnos a través de la dark web. Ello motivó un furioso comunicado intentando desmentir la información de este medio.

“Tras una revisión exhaustiva de nuestros sistemas confirmamos que toda la información institucional, académica y personal se encuentra debidamente resguardada y no ha estado en riesgo en ningún momento”, sostiene el documento de marras.

Una afirmación tan categórica podría resultar tranquilizadora si no fuera por un detalle técnico que aparece apenas se observa la infraestructura pública de la institución (ver al pie).

No es una mera afirmación de este cronista: una experta en ciberseguridad explicó a Mendoza Today que basta una revisión superficial —sin técnicas sofisticadas ni análisis forense— para detectar servidores expuestos con Apache HTTP Server 2.4.62 y PHP 7.4.33. Este último se encuentra fuera de soporte desde noviembre de 2022, lo que significa que ya no recibe parches de seguridad oficiales.

Se trata de algo que cualquier persona con conocimientos básicos puede observar mirando lo que en seguridad se conoce como la “caja negra”: aquello que un sistema revela hacia internet sin necesidad de penetrarlo.

El problema no termina ahí. En ese mismo servidor la versión de Apache HTTP Server aparece visible públicamente, algo que incluso configuraciones mínimas de seguridad suelen evitar. Exponer versiones de software facilita el trabajo de reconocimiento para potenciales atacantes y aumenta innecesariamente la superficie de ataque.

Y lo más llamativo es que no se trata de un problema complejo de resolver. En muchos entornos Linux bastaría con una actualización rutinaria —un simple apt update seguido de apt full-upgrade— para cerrar gran parte de estas brechas evidentes sin generar un gasto extra administrativo.

El problema no es si alguien mencionó o no en la deep web un supuesto acceso a sistemas universitarios. Ese es apenas el síntoma.

El problema real es otro: la gestión de la seguridad digital dentro de la institución parece no estar a la altura de la responsabilidad que implica administrar datos sensibles de miles de estudiantes, docentes y trabajadores.

Porque cuando un sistema crítico mantiene software obsoleto, expone información innecesaria sobre su infraestructura y no aplica prácticas básicas de hardening, no estamos frente a un ataque sofisticado ni a un incidente inevitable. Estamos frente a fallas elementales de administración tecnológica.

La ciberseguridad no es un comunicado tranquilizador ni un ejercicio de relaciones públicas. Tampoco es un cumplimiento burocrático para decir que existe una política de seguridad. Es una práctica cotidiana que se refleja en decisiones muy concretas: mantener sistemas actualizados, minimizar la exposición de información técnica y reducir la superficie de ataque.

Cuando desde fuera de la infraestructura ya es posible detectar configuraciones que contradicen principios básicos de seguridad, resulta difícil aceptar afirmaciones absolutas como que “la información nunca estuvo en riesgo”.

Porque si lo que se observa desde la caja negra ya muestra debilidades, la pregunta inevitable es otra:
¿qué estará ocurriendo en las capas que no se ven?

En definitiva, el verdadero debate no debería centrarse en si alguien publicó o no un supuesto acceso en un foro de la deep web. El problema es más profundo y más incómodo: cuando la seguridad informática se gestiona con estándares insuficientes desde dentro de la propia organización, el riesgo no depende de lo que aparezca en internet, sino de quién está administrando la infraestructura y con qué nivel de responsabilidad técnica.

Y tratándose de datos académicos, personales y administrativos de una universidad pública del tamaño de la Universidad Nacional de Cuyo, ese estándar debería ser, como mínimo, mucho más alto.