Más de un millón de registros personales de alumnos y de miembros de sus familias en Castilla y León han sido robados en un ciberataque perpetrado por unos hackers a finales del pasado mes de mayo, que airearon en redes sociales pero que la Junta de Castilla y León ha negado tajantemente. Hasta hoy.
Después de asegurar ante los periodistas de manera directa que no hay “ni rastro de ningún hackeo”, como respondió a la prensa a la propia consejera de Educación, Rocío Lucas (PP), y garantizar que había “plena normalidad”, hoy la Consejería ha confirmado, un mes después, que el sistema de información en que se aloja la base de datos de la comunidad educativa de Castilla y León sufrió un ciberataque en toda regla.
Algo muy serio, admiten ahora cambiando radicalmente su versión, porque los datos que pudieron ser sustraídos “pueden ser, potencialmente, empleados para cometer suplantación de identidad mediante correos electrónicos, llamadas telefónicas no deseadas o correos con intención comercial”, entre otros.
La confirmación de este grave asunto no ha sido más que con una simple publicación en el portal Educacyl, sin una comparecencia pública de la consejera o algún responsable ni siquiera una nota de prensa. En esta comunicación se certifica que el hackeo tuvo efectivamente lugar el pasado 31 de mayo, comprometiendo desde entonces todos los datos personales del alumnado, de sus padres y de los profesores de todas las provincias de Castilla y León.
Ahora es un “incidente de seguridad”
La Consejería de Educación le llama ahora en este comunicado un “incidente de seguridad”, y confirma por fin que dio acceso al o a los hackers a los datos personales del alumnado y de sus progenitores o tutores, como DNI, fecha de nacimiento, nacionalidad, dirección, teléfono o correo electrónico. Continúa que el ataque se detectó el 31 de mayo “de forma indiciaria” y se confirmó el 2 de junio.
Para añadir gravedad al asunto, la consejera no sólo lo negó ante la prensa cuando fue preguntada sino que también rechazó que hubiera ocurrido, ni que fuera serio’ cuando el grupo Vox en el Parlamento autonómico se interesó por este suceso y criticó que se estaba ocultando. La respuesta de la consejera popular fue que se estaba “generando una alarma innecesaria”, que se pretendía hacer sólo un “uso partidista” de un episodio y que “la seguridad para la Junta es una prioridad”.
Literalmente, Lucas llegó a decir en las Cortes que “se tiene noticia de algún intento de acceso no autorizado” al portal, pero afirmó que se actuó “de inmediato” abriendo la oportuna investigación sobre el origen y el alcance del incidente “en colaboración con la empresa desarrolladora” y se notificó el suceso a la Agencia de Protección de Datos, así como se denunció ante la Guardia Civil. Pero rebajó su trascendencia asegurando en el hemiciclo que este tipo de intentos de hackeos “hasta la NASA los ha sufrido”, por lo que pidió “seriedad y responsabilidad”
Ahora, en el reconocimiento final no de un intento sino de un robo por ciberataque, así como su alcance real, confirman por fin que la incidencia, una vez confirmada el 2 de junio, se notificó el día 3 del mismo mes a la Agencia Española de Protección de Datos y se interpuso la correspondiente denuncia ante la Comandancia de la Guardia Civil de Valladolid.
Educación señala que, para controlar los posibles daños, se han aplicado medidas técnicas para bloquear el ciberataque, se reforzaron las aplicaciones de gestión afectadas y se incorporaron nuevos filtros a nivel de la red corporativa, así como alertas de monitorización.
Recomendaciones a toro pasado
Finalmente, la Junta no propone ninguna solución para que los usuarios puedan intentar evitar el uso masivo e ilegal de todos sus datos personales. Simplemente, de limita a indicar las vías de ayuda para quienes se hayan visto comprometidos. Las vías, a toro pasado, serían las siguente: en caso de sospechar estar siendo objeto de cualquier tipo de acción fraudulenta, se puede acudir al Instituto Nacional de Ciberseguridad (INCIBE), a través del teléfono 017 o consultando su web en https://www.incibe.es/linea-de-ayuda-en-ciberseguridad; al Grupo de Delitos Telemáticos de la Guardia Civil, disponible en https://www.guardiacivil.es/es/servicios/FormasContacto.html; o bien a la Brigada de Investigación Tecnológica de la Policía Nacional, mediante https://www.policia.es/_es/colabora_informar.php?strTipo=CGPJDT.