Evorax exfiltra 73371 registros de la Politecnica de Cartagena en 14 anos de datos: la UPCT activa el CCN-CERT mientras las universidades espanolas acumulan 60 ciberataques graves en cinco anos

El actor de amenaza Evorax comprometio el 1 de marzo de 2026 los sistemas de la Universidad Politecnica de Cartagena, exfiltrando 73,371 registros que cubren 14 anos de operaciones institucionales. La UPCT, que activo el CCN-CERT el 4 de marzo, admite publicamente solo una filtracion limitada al Portal de Prensa.

El actor de amenaza conocido como Evorax comprometio el 1 de marzo de 2026 los sistemas de la Universidad Politecnica de Cartagena (UPCT) exfiltrando 73,371 registros que cubren 14 anos de operaciones institucionales —del 2012 al 2026— incluyendo numeros de DNI del personal, credenciales administrativas del gabinete de prensa, calendarios rectores, rutas internas de archivos y metadatos institucionales en profundidad, segun la alerta critica publicada por VECERT Radar el 4 de marzo, en una brecha que la propia universidad describio ese mismo dia en su comunicado oficial como una “posible filtracion limitada al Portal de Prensa y a informacion publica de la agenda del rector” cuya investigacion fue notificada de inmediato al Centro Criptologico Nacional — Computer Emergency Response Team (CCN-CERT) para determinar causas y alcance real, con la UPCT afirmando que “el resto de los sistemas de la Universidad no han sido afectados y continuan operando con normalidad” pero sin confirmar ni desmentir la dimension de la exfiltracion descrita por los analizadores de amenazas externos, segun documentaron la UPCT en su comunicado oficial, Bit Life Media y COPE Region de Murcia. El incidente en Cartagena no ocurre en el vacio: el INCIBE gestiono 122,223 incidentes de ciberseguridad en Espana durante 2025, un aumento del 26% respecto a 2024, con el ransomware creciendo un 116% en el mismo periodo, y el 60% de las universidades iberoamericanas reportando al menos un ciberataque grave en los ultimos 12 meses segun el Indice de Madurez en Ciberseguridad de MetaRed y la SEGIB, en un ecosistema donde el coste medio de un ataque al sector educativo asciende a 2.24 millones de euros —un 48% superior al promedio de otras industrias— y donde las sanciones de la Agencia Espanola de Proteccion de Datos (AEPD) pueden alcanzar los 20 millones de euros o el 4% de la facturacion anual bajo la normativa NIS2 y el Esquema Nacional de Seguridad (ENS), segun confirman el informe INCIBE 2026 y el Informe 2025 sobre Ciberseguridad en el Sector Educativo de Insurance Area.

📅 5 de marzo de 2026 | 📍 Cartagena, Region de Murcia, Espana | ✍️ Birmux News

Cartagena, 5 de marzo de 2026 — Hay dos versiones del mismo incidente. La primera la cuenta la universidad: una posible filtracion limitada al Portal de Prensa, notificada al CCN-CERT, investigacion en curso, resto de sistemas operando con normalidad. La segunda la cuenta Evorax, el actor de amenaza que segun los analizadores externos entro en los servidores de la UPCT el 1 de marzo: 73,371 registros, 14 anos de historia institucional, DNIs del personal, credenciales administrativas.

Una de las dos versiones esta minimizando el problema. Y mientras la investigacion del CCN-CERT determina cual es la verdadera dimension de la brecha, los datos del personal de la Politecnica de Cartagena estan, segun esos mismos analizadores, en manos de alguien que no deberia tenerlos.

Esto no es nuevo para las universidades espanolas. Es la ultima entrega de una historia que lleva cinco anos repitiendose.

El comunicado oficial vs. la alerta critica externa: dos relatos del mismo incidente

UPCT oficial: filtracion limitada al Portal de Prensa, CCN-CERT notificado, sistemas operativos

El comunicado oficial de la UPCT, publicado el 4 de marzo en la web institucional y reproducido por todas las escuelas de la universidad, establece la posicion oficial de la institucion:

“La Universidad Politecnica de Cartagena ha tenido conocimiento hoy de una posible filtracion de informacion que afecta a una parte de nuestros sistemas, fundamentalmente a la informacion publica de la agenda del rector y al portal de Prensa con informacion publica institucional. De manera inmediata, nuestros tecnicos han comunicado el ciberincidente al Centro Criptologico Nacional – Computer Emergency Response Team (CCN-CERT) y, a la vez, estan investigando las causas y el impacto real del incidente. Los primeros analisis indican que el incidente se ha limitado al entorno del Portal de Prensa. El resto de sistemas de la Universidad no han sido afectados y continuan operando con normalidad. Asimismo, se estan revisando los registros del sistema para evaluar cualquier posible acceso no autorizado o modificacion de contenidos. Una vez conocida la informacion sobre el alcance y las causas se volvera a informar.”

VECERT Radar: la alerta critica que describe una brecha de dimension radicalmente distinta

VECERT Analyzer, sistema automatizado de monitoreo de amenazas, publico el 4 de marzo una alerta critica con los detalles tecnicos de la exfiltracion:

“CRITICAL ALERT: Massive Security Breach at Universidad Politecnica de Cartagena (UPCT). Victim: UPCT (Spain). Threat Actor: Evorax. Impact: Exposure of Staff DNI numbers, administrative credentials, rectoral calendars, and extensive institutional logs. Threat actor Evorax has compromised the UPCT infrastructure, exfiltrating 73,371 records covering 14 years of university operations. On March 1, 2026, the UPCT was compromised by the threat actor known as Evorax. This intrusion resulted in a massive exfiltration of sensitive institutional data covering a 14-year timeline from 2012 to 2026. The breach is exceptionally severe due to the granular nature of the compromised information, which extends beyond basic user logs into administrative and operational infrastructure. The exposure of staff ID numbers (DNI), administrative press room credentials, and deep institutional metadata — including calendar entries, internal file paths, and institutional records — represents a critical threat.”

Bit Life Media: la brecha en el contexto del patron de ataques a universidades espanolas

Bit Life Media contextualiza el incidente en el patron historico de ataques al sector universitario espanol:

“La universidad no ha confirmado si la filtracion se debe a un ataque externo, a una vulnerabilidad explotada o a algun tipo de fallo en la configuracion de los sistemas. Tampoco se ha especificado si el incidente podria estar relacionado con alguna campana de intrusion dirigida contra instituciones educativas. Los centros universitarios se han convertido en los ultimos anos en uno de los objetivos prioritarios para los ciberdelincuentes, debido al gran volumen de informacion que manejan y a la complejidad de sus infraestructuras digitales. Plataformas academicas, repositorios de investigacion, bases de datos de estudiantes o sistemas administrativos convierten a estas instituciones en un entorno especialmente atractivo para ataques. Ese mismo ano, la Universidad Autonoma de Barcelona continuo recuperandose de un grave ciberataque sufrido previamente que llego a paralizar durante semanas parte de su infraestructura tecnologica. Mas recientemente, en 2024, la Universidad Complutense de Madrid investigo varios incidentes de seguridad vinculados a accesos no autorizados en sistemas internos.”

El patron historico: cinco anos de ciberataques graves a universidades espanolas

De la UAB en 2021 a la UPCT en 2026: los casos que configuraron la crisis

Xataka, El Diario y Channel Partner documentan los casos mas graves del periodo:

Cronologia de ciberataques graves a universidades espanolas 2021-2026:

– Octubre 2021 — UAB (Universidad Autonoma de Barcelona): Ransomware Pysa paraliza 1,200 servidores, 10,000 ordenadores y afecta a mas de 50,000 usuarios durante semanas. 650,000 archivos cifrados. Rescate exigido: 3 millones de euros. La UAB no pago.

– Enero 2022 — UOC (Universitat Oberta de Catalunya): Ransomware afecta al campus virtual. Servicios interrumpidos para miles de estudiantes en pleno periodo de evaluacion.

– 2024 — UCM (Universidad Complutense de Madrid): Exfiltracion de nombres completos, DNI, direcciones, titulaciones y documentacion acreditativa de miles de alumnos y exalumnos que realizaron practicas en empresas.

– 2025 — UIB (Universitat de les Illes Balears): Campana de phishing que replico la identidad institucional para robar credenciales de alumnos y profesores. Alcance no determinado.

– 2025 — ESIC University: Robo de mas de 66,000 expedientes de alumnos y personal en ataque que incluia datos academicos, personales y laborales.

– Marzo 2026 — UPCT (Universidad Politecnica de Cartagena): Evorax exfiltra 73,371 registros de 14 anos. La universidad notifica al CCN-CERT. Investigacion en curso.

Los numeros del problema: lo que dicen INCIBE, MetaRed e Insurance Area

INCIBE 2026, MetaRed-SEGIB e Insurance Area: la fotografia estadistica de una crisis sistemica

El informe INCIBE publicado en febrero de 2026, Espacios de Educacion Superior y el Informe de Insurance Area ofrecen la dimension estadistica del problema:

Estadisticas clave sobre ciberseguridad en la educacion superior 2025-2026:

– 122,223 incidentes gestionados por INCIBE en Espana en 2025, un 26% mas que en 2024.
– 237,028 sistemas vulnerables identificados en territorio espanol durante 2025.
– Incremento del 116% en ataques de ransomware especificos contra objetivos espanoles en 2025.
– 60% de las universidades iberoamericanas reportaron al menos un ciberataque grave en los ultimos 12 meses (MetaRed / SEGIB).
– 85% de las universidades del Reino Unido detectaron ataques o brechas de seguridad en los ultimos meses del ejercicio anterior (gobierno britanico).
– Coste medio de un ciberataque en el sector educativo: 2.24 millones de euros, un 48% superior al promedio de otras industrias.
– Coste medio de rescate en ataques ransomware educativos: 473,000 euros.
– Gastos medios de recuperacion de sistemas: 230,000 euros adicionales.
– 59% de los ataques al sector educativo vinculados al crimen organizado.
– 60% de las brechas originadas por errores humanos (contrasenas debiles, phishing, configuraciones incorrectas).

Por que las universidades son el objetivo mas atractivo para los ciberdelincuentes

Espacios de Educacion Superior: los expertos Arturo Azcorra y Fernando Mairata explican la vulnerabilidad estructural

Espacios de Educacion Superior publica el 2 de marzo —dos dias antes del incidente de la UPCT— un analisis con dos expertos que explica con precision por que las universidades son tan vulnerables:

“Arturo Azcorra (catedratico UC3M, exdirector IMDEA Network): Las universidades estan particularmente expuestas a ciberataques debido a tener un gran numero de alumnos en el interior de la red de la universidad, con cuentas de acceso a servidores, y un mayor acceso fisico a los sistemas. Esto facilita mucho los ciberataques por parte de los alumnos, en particular en universidades con estudios de teleco o informatica. Al mismo tiempo, facilita la venta de credenciales de acceso en la darknet, ya que los alumnos sienten una menor responsabilidad institucional hacia la universidad que un empleado. Fernando Mairata (presidente APNTI): Las universidades son minas de oro digitales por tres razones: manejan datos valiosos con informacion personal, bancaria y medica de miles de personas. El gran peligro es la reutilizacion de contrasenhas. Muchos usan la misma clave para el correo de la facultad, su Instagram y su banco. Si un ciberdelincuente roba la contrasenha de la universidad, automaticamente tiene la llave de toda la vida digital de esa persona.”

El contexto global de la semana: cae LeakBase y el Ministerio de Ciencia espanol admite un hackeo

Dos noticias paralelas que enmarcan el incidente de la UPCT en la misma semana

Bit Life Media y Escudo Digital documentan los dos eventos paralelos mas relevantes de la misma semana:

“Una operacion internacional liderada por Europol y el FBI detuvo a LeakBase, uno de los mayores foros dedicados a la compraventa de datos robados en Internet, entre los dias 3 y 4 de marzo. La plataforma, activa desde 2021, habia reunido a mas de 142,000 usuarios registrados y albergaba miles de publicaciones con bases de datos filtradas y credenciales robadas. Segun las autoridades, la caida de LeakBase supone un golpe relevante contra la economia clandestina basada en datos robados, un ecosistema que alimenta ataques informaticos, fraude financiero y campanas masivas de phishing. En paralelo, el Ministerio de Ciencia espanol reconocio haber sufrido un hackeo de alcance ‘muy limitado’, admitiendo un acceso no autorizado a datos personales de solicitantes de homologaciones y equivalencias.”

Por que el caso UPCT redefine el debate sobre ciberseguridad universitaria en Espana: cuatro factores

Cuatro dimensiones que hacen del incidente de Cartagena un punto de inflexion para el sector

El ciberincidente de la UPCT no es solo una noticia local sobre una universidad mediana de la Region de Murcia. Hay cuatro razones que lo convierten en un caso de referencia para la discusion sobre ciberseguridad universitaria en Espana:

1. La brecha entre el comunicado oficial y la dimension real documentada externamente: La UPCT habla de una filtracion del Portal de Prensa. Evorax habla de 73,371 registros con DNIs, credenciales y 14 anos de metadatos institucionales. Esa distancia entre los dos relatos es el problema fundamental: las universidades tienden a minimizar el alcance inicial de los incidentes, lo que retrasa la notificacion a los afectados y dificulta la respuesta de las autoridades. La normativa NIS2 y el ENS exigen notificacion completa en plazos estrictos. Cada hora de subvaloracion del incidente puede traducirse en multas millonarias de la AEPD.

2. Los datos de los DNIs del personal son el tipo de informacion mas persistentemente danina: Una contrasena filtrada se cambia. Una cuenta bancaria comprometida se cancela. Un DNI filtrado no se puede cambiar nunca. Los 73,371 registros de la UPCT que incluyen numeros de documento nacional de identidad del personal representan una vulnerabilidad permanente para todos los afectados, que podria usarse para suplantacion de identidad durante anos o decadas.

3. La simultaneidad con la caida de LeakBase crea una ventana critica: LeakBase fue desmantelado el 3 y 4 de marzo por Europol y el FBI. Pero su cierre no elimina los datos que ya circulaban en su plataforma ni en los foros alternativos donde sus 142,000 usuarios migraran. Los datos exfiltrados de la UPCT el 1 de marzo podrian estar ya disponibles en esos entornos antes de que la investigacion del CCN-CERT concluya.

4. La UPCT tenia a sus propios expertos advirtiendo del problema desde 2022: El vicerrector de Transformacion Digital de la UPCT, Manuel Munuera, y el responsable de Seguridad de la Informacion, Francisco Sampalo, firmaron sendos capitulos del informe Universitic 2022 advertiendo que la inversion en ciberseguridad universitaria “apenas se planifica a largo plazo”. Cuatro anos despues, Evorax demostro que la advertencia no fue suficiente.

Conclusion: la UPCT notifico al CCN-CERT, pero el debate que abre va mucho mas alla de Cartagena

El 4 de marzo de 2026, la Universidad Politecnica de Cartagena publico un comunicado de siete lineas diciendo que habia detectado una posible filtracion en su Portal de Prensa y que habia notificado al CCN-CERT. Era el procedimiento correcto. Era la respuesta institucional esperable.

Como confirmo VECERT Radar, lo que Evorax exfiltro el 1 de marzo no era informacion publica de la agenda del rector. Eran 73,371 registros con 14 anos de historia institucional, incluyendo DNIs del personal y credenciales administrativas. Como documento Bit Life Media, la UPCT se suma a una lista de universidades espanolas atacadas con gravedad desde 2021: la UAB con un ransomware que paralizo 10,000 ordenadores, la Complutense con datos personales de miles de alumnos, la ESIC con 66,000 expedientes robados.

Como publicaron el 2 de marzo —dos dias antes del incidente— los expertos Arturo Azcorra y Fernando Mairata en Espacios de Educacion Superior, las universidades son minas de oro digitales donde los alumnos venden credenciales en la darknet porque sienten menos responsabilidad institucional que un empleado. Como confirman los datos del INCIBE, Espana sufrio 122,223 incidentes de ciberseguridad en 2025, con el ransomware creciendo un 116%. Como establece el informe de Insurance Area, el coste medio de un ataque en educacion superior es de 2.24 millones de euros, un 48% por encima del promedio de otros sectores.

La investigacion del CCN-CERT dira en los proximos dias si la dimension real del incidente en la UPCT se acerca al comunicado oficial o a la alerta critica de Evorax. Pero independientemente del resultado, la pregunta que deja abierta este incidente es la misma que dejaron todos los anteriores: cuantos mas deben ocurrir antes de que la ciberseguridad universitaria deje de planificarse en el corto plazo y se convierta en una prioridad estructural del sistema educativo superior espanol.