Un grupo de hackers criminales publicó públicamente grandes conjuntos de datos supuestamente robados de la Universidad de Harvard y la Universidad de Pensilvania, según informes del 5 de febrero de 2026. El grupo de extorsión ShinyHunters publicó millones de registros en un foro en línea, alegando que incluyen información personal y datos internos de ambas instituciones.
ShinyHunters dijo que la filtración contiene más de 1 millón de registros de los sistemas de Harvard, incluyendo datos relacionados con la recaudación de fondos y las relaciones con antiguos alumnos, y aproximadamente 1,2 millones de registros de los sistemas de Penn que, según afirma, cubren estudiantes, antiguos alumnos y donantes. Los datos incluyen supuestamente direcciones de correo electrónico, números de teléfono, domicilios y empresas, y otra información biográfica. Ninguna de las dos universidades ha verificado públicamente el alcance completo de los registros publicados.
Harvard reveló en noviembre de 2025 que sus redes utilizadas por la oficina de Asuntos y Desarrollo de Antiguos Alumnos habían sido accedidas por una parte no autorizada tras un ataque de phishing telefónico. Las autoridades dijeron que los sistemas comprometidos generalmente no almacenaban números de la Seguridad Social, contraseñas, información de tarjetas de pago ni números de cuenta financiera, pero sí contenían datos personales de contacto y datos de donaciones y asistencia a eventos. Harvard dijo que actuó rápidamente para eliminar el acceso del atacante y continúa investigando el incidente con expertos externos y fuerzas del orden.
La Universidad de Pensilvania confirmó una brecha separada a finales de 2025, aunque disputó el número de personas afectadas reclamadas por ShinyHunters. Informes locales citaron una presentación legal que indicaba que la brecha afectó a menos de 10 personas, en contraste con la afirmación de más de 1,2 millones de registros. En el caso de Penn, se enviaron correos electrónicos fraudulentos desde direcciones universitarias después de que los atacantes accedieran a los sistemas internos, y la universidad notificó al FBI mientras examinaba la brecha con especialistas en ciberseguridad.
Los investigadores y analistas de seguridad enfatizan la cautela al evaluar los filtros de datos en la dark web, señalando que las afirmaciones en foros penales a menudo no están verificadas y pueden incluir archivos fabricados o engañosos destinados a llamar la atención o pagos por extorsión. En incidentes anteriores, ShinyHunters ha publicado o vendido presuntos datos robados de empresas de alto perfil, y no todas las afirmaciones han sido confirmadas como legítimas.
Ambas universidades han emitido directrices a las comunidades afectadas, aconsejando vigilancia contra el phishing y otras comunicaciones sospechosas que hacen referencia a la información filtrada, y están trabajando para determinar el alcance de cualquier exposición y reforzar sus controles de seguridad. Las agencias de seguridad están implicadas en las investigaciones, y ambas instituciones continúan comunicándose con socios de ciberseguridad a medida que se desarrollan los incidentes.