ShinyHunters, el grupo de hackers responsable de algunas de las mayores brechas de datos de los ultimos anos, ha publicado mas de 40 gigabytes de datos robados de la Universidad de Nottingham, exponiendo los registros personales de aproximadamente 455.000 estudiantes actuales y exalumnos de tres campus internacionales. Los datos robados ya circulan publicamente, dejando a las victimas sin medios practicos para contener la exposicion.
Que fue robado y quienes estan afectados
La filtracion afecta a estudiantes y antiguos alumnos de los campus de la Universidad de Nottingham en el Reino Unido, Malasia y China. Segun el analisis de los archivos publicados, la brecha incluye:
- Documentos de identidad: numeros y copias de pasaportes, datos de documentos nacionales de identidad
- Registros financieros: numeros de cuenta bancaria internacional (IBAN), historial de pagos
- Datos personales sensibles: origen etnico, situacion de discapacidad, registros medicos
- Expedientes academicos: datos de matriculacion, calificaciones, expedientes disciplinarios
- Informacion de contacto: domicilios, numeros de telefono, direcciones de correo electronico
La combinacion de datos de pasaportes, registros financieros y categorias sensibles como el origen etnico y la discapacidad crea riesgos especialmente graves para las 455.000 personas afectadas.
Como ocurrio la brecha: el zero-day de Oracle PeopleSoft
El ataque exploto CVE-2026-35273, una vulnerabilidad critica en Oracle PeopleSoft con una puntuacion CVSS de 9,8. El fallo permitia la ejecucion remota de codigo sin autenticacion mediante una simple solicitud HTTP - sin credenciales, sin acceso interno, sin ingenieria social. Un atacante podia acceder al sistema directamente desde Internet y ejecutar comandos arbitrarios con privilegios de nivel de servidor.
Oracle PeopleSoft se utiliza ampliamente en la educacion superior como sistema de planificacion de recursos empresariales (ERP) para gestionar exactamente el tipo de datos aqui expuestos. La implantacion de la Universidad de Nottingham abarcaba los tres campus, lo que explica el alcance multinacional de la brecha. ShinyHunters supuestamente exploto la vulnerabilidad antes de que hubiera un parche disponible publicamente.
La creciente campana de brechas de ShinyHunters
La brecha de Nottingham es la ultima entrada en la estrategia del "volcado eterno" de ShinyHunters: atacar sistematicamente organizaciones con grandes bases de datos centralizadas y publicar los datos robados independientemente de si se paga un rescate. Las victimas confirmadas anteriores incluyen Carnival Corporation (casi 6 millones de registros de pasajeros), Ticketmaster (560 millones de registros), Santander Bank y docenas de empresas cuyos datos fueron robados a traves de cuentas Snowflake comprometidas en 2025.
A diferencia de los grupos de ransomware que cifran datos y exigen pago, ShinyHunters publica datos publicamente. Esto hace que el dano sea irreversible: una vez que los escaneos de pasaportes y los numeros IBAN estan indexados en la dark web, las victimas no pueden deshacer la exposicion.
Respuesta de la universidad y notificacion regulatoria
La Universidad de Nottingham confirmo el incidente y declaro haber notificado al Information Commissioner's Office (ICO) del Reino Unido y a Action Fraud. Bajo el RGPD y su equivalente britanico, las organizaciones estan obligadas a notificar las brechas al ICO dentro de las 72 horas siguientes a su deteccion cuando existe riesgo para los derechos de las personas.
La universidad declaro que esta contactando directamente a los afectados. Sin embargo, con 455.000 personas en tres paises, el proceso de notificacion llevara tiempo, durante el cual los estudiantes y alumni desconoceran su exposicion especifica.
Por que las redes universitarias son objetivos de alto valor
Las universidades se han convertido en objetivos prioritarios por razones estructurales. Mantienen decadas de registros sobre numerosos estudiantes, incluidas categorias sensibles que las instituciones financieras suelen proteger con mayor cuidado. Los campus internacionales crean complejidad adicional: la gobernanza de datos segun los marcos regulatorios britanico, malasio y chino significa que los estandares de seguridad pueden no aplicarse uniformemente.
Para los estudiantes y el personal que usan VPN para acceder remotamente a los recursos de la red universitaria, la brecha de Nottingham es un recordatorio de que los tuneles cifrados protegen los datos en transito pero no pueden compensar las vulnerabilidades en las aplicaciones y bases de datos al otro extremo de la conexion.
Lo que viene a continuacion
El ICO puede imponer multas de hasta el 4% de la facturacion anual global por violaciones graves del RGPD. La brecha de Nottingham atraera probablemente el escrutinio regulatorio, con la cuestion central de si la universidad aplico medidas tecnicas adecuadas.
