A medida que los estudiantes y el personal regresaron a los campus este agosto, se ha observado un marcado aumento de los ataques cibernéticos contra las instituciones educativas en todo el mundo.
De enero a julio de 2025, las organizaciones en el sector educativo soportaron un promedio de 4,356 ataques semanales, marcando un aumento de 41 por ciento año tras año. Estos asaltos van desde dominios de phishing de recolección de credenciales hasta la entrega sofisticada de código malicioso destinado a comprometer las redes y exfiltrar datos confidenciales.
La aparición de campañas de phishing temática cronometrada a la carrera de regreso a la escuela ha amplificado tanto el volumen como la sofisticación de estas amenazas, explotando la urgencia del usuario final y la dependencia de las plataformas digitales.
Los ataques han atacado de manera uniforme en todas las regiones, pero las organizaciones de Asia y el Pacífico enfrentaron el ataque más pesado, con 7.869 ataques semanales promedio por organización.
América del Norte vio el pico más empinado, aumentando el 67 por ciento interanual, mientras que Europa y África registraron aumentos de 48 por ciento y 56 por ciento respectivamente.
A nivel de país, Italia lideró con 8,593 ataques por organización, seguido de Hong Kong en 5,399, Portugal a 5,488 y Estados Unidos en 2.912.
Analistas de Check Point anotado Que la escala y el momento de estas sobretensiones indican que los atacantes están aprovechando el pico estacional en la actividad digital para maximizar el impacto y evadir la detección.
Más allá del volumen puro, los atacantes han refinado sus técnicas. Solo en julio, se registraron más de 18,000 nuevos dominios que imitaban instituciones académicas, con uno de cada 57 marcados como maliciosos o sospechosos.
Estos dominios a menudo alojan páginas de suplantación que imitan las interfaces de inicio de sesión de Microsoft. Los investigadores de Check Point identificaron múltiples campañas donde las cargas útiles de malware se entregaron a través de archivos adjuntos SVG aparentemente benignos o formularios PDF codificados por QR, lo que permite el robo de credenciales y la implementación de cargadores secundarios.
Mecanismo de infección
Una mirada más profunda a la cadena de infección del malware revela un proceso de varias etapas diseñado para la persistencia y la evasión.
El compromiso inicial comienza con un correo electrónico de phishing que contiene un archivo SVG diseñado o un PDF disfrazado de comunicación universitaria.
Cuando se abre, el SVG invoca un JavaScript incrustado que obtiene una carga útil de un dominio escudero para error tipográfico.
// Fragmento de inyección de cargador simplificado usando el sistema; usando System.DiaGnósticos; usando System.Runtime.inTeropServices; clase inyector {(dllImport (“kernel32.dll”)) static extera intptr oprocess (int a, bool b, int c); (DllImport (“kernel32.dll”)) static extern bool writeProcessMemory (intptr h, intptr addr, byte () datos, intize int, intptr escrito); (DllImport (“kernel32.dll”)) static externa intptr creeRemotethread (intptr h, intptr lp, uint sz, intptr start, intptr arg, flags uint, out intptr id); static void main (string () args) {Process Target = Process.Start (“svChost.exe”); Intptr h = openProcess (0x1f0fff, false, target.id); byte () shellcode = convert.frombase64String (“…”); // Carga útil cifrada WriteProcessMemory (h, target.mainmodule.baseaddress, shellcode, shellcode.length, out _); Creeateremotethread (h, intptr.zero, 0, target.mainmodule.baseaddress, intptr.zero, 0, out _); }}
La carga útil es un ejecutable de .NET que descifra en la memoria y deja caer un cargador de malware ligero en la carpeta de inicio de Windows para persistencia.
MetricValueAverage Weekly Attacks (Global)4,356Year-over-Year Increase+41 percentAPAC Average Weekly Attacks7,869North America YoY Increase+67 percentEurope YoY Increase+48 percentAfrica YoY Increase+56 percentItaly Attacks per Organization8,593United States Attacks per Organization2,912Malicious Academic-themed Domains (July)1 in 57
La evasión de detección se logra utilizando el hueco del proceso: el cargador genera un proceso legítimo (por ejemplo, svChost (.) Exe), desaprueba su memoria e inyecta código malicioso en la instancia hueca.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
