Un ‘hacker’ roba datos personales de «miles de estudiantes» de la UVA
Figuran listas de alumnos y docentes participantes en cursos en el extranjero y foráneos matriculados en Valladolid, con datos de cuentas bancarias
Alumnos del máster de Relaciones Internacionales de la UVAen un examen.-E. M.
La Agencia de Protección de Datos y el Cuerpo Nacional de Policía (CNP)investigan el ‘hackeo’ masivo’ de datos personales de «varios miles» de estudiantes y profesores de la UVAa través del website de del Servicio de Relaciones Internacionales, tras una denuncia formulada por la propia institución académica tras haber descubierto que había sido víctima de un ataque y robo de datos en la madrugada del 10 al 11 de enero de 2019.
Los datos captados hacen referencia a nombre y apellidos, titulación, DNIy en algunos casos el número de cuenta bancaria, aunque sin contraseña. El listado no es exclusivo del curso 2018/2019. También incluye relación de personas de «varios cursos» atrás, según explicó la secretaria general de la UVA, Helena Castán Lanaspa.
Se trata en su mayoría de extranjeros que han venido a cursar estudios con becas a la UVA; de españoles que han disfrutado de becas en el extranjero y, en menor medida, de profesores y trabajadores de administración y servicios (PAS)que hayan disfrutado de estancias o de cursos de estudios en el extranjero.
Castán, que ha asumido la gestión del incidente en su calidad de responsable de la Información, del Servicio de Tecnologías de la Información y de las Telecomunicaciones, y del Desarrollo de la Política de Protección de Datos, informó que a fecha de ayer no disponían del número exacto de afectados porque se encontraban en el proceso de análisis de la base de datos. «Al detectar la brecha de seguridad, bloqueamos el servidor, como establece el protocolo. Ahora trabajamos en el volcado de la copia de seguridad que tenemos en otra máquina diferente y estamos analizando la información que contenía».
La secretaria general recordó que además de denunciar el hecho a la Brigada de Delitos Económicos del CNPy a la Agencia Española de Protección de Datos, están contactando con «todas las personas afectadas» a través de un correo electrónico en dos idiomas, con recomendaciones para que actúen de inmediato, bien verificando algún movimiento en sus cuentas bancarias, bien notificando esta incidencia a sus entidades financieras.
Comité de seguridad
La UVA lanzó ayer un comunicado en el que expone su «compromiso firme con los derechos de la comunidad universitaria» y con la «garantía del derecho fundamental a la protección de datos y de su seguridad».
Así, recuerda que desde la entrada en vigor del Reglamento Europeo de Protección de Datos el pasado 25 de mayo de 2018, la Universidad ha actualizado su esquema de seguridad para adaptarnos a la nueva normativa, y dispone de un responsable de Privacidad y de un delegado de Protección de Datos, además de un Comité de Seguridad de la Información.
La Secretaría General, en su calidad de responsable de la Información, del Servicio de Tecnologías de la Información y de las Telecomunicaciones, y del Desarrollo de la Política de Protección de Datos, ha asumido la gestión de este incidente. «Estamos trabajando al servicio de la comunidad universitaria para mejorar la seguridad de los sistemas de información afectados y lamentamos las molestias que este incidente pueda ocasionar», insiste el comunicado de la UVA.
Sobre el incidente del fin de semana recalca que ha evaluado ‘hackeo’ de acuerdo a los protocolos establecidos por el Esquema Nacional de Seguridad del Real Decreto 3/2010, de 8 de enero, en su artículo 24 y los marcados por la Agencia de Protección de Datos según el Reglamento 2016/679.
«No pretenden hacer daño pero sí demostrar su fuerza»
La secretaria general de la UVAestá convencida de que los hackers no pretenden hacer daño con los datos capturados –aún no hay constancia de que hayan retirado dinero de cuentas–, sino más bien pegar un toque de atención sobre la vulnerabilidad de los sistemas informáticos. «Es un posible delito regulado por el artículo 197 de Código Penal , pero creemos que todo se queda en amenaza. Este tipo de delitos se realiza para demostrar que los sistemas son vulnerables. No ha habido ningún perjuicio económico, ni lo esperamos», aseguró la alto cargo del Rectorado que dirige Antonio Largo Cabrerizo.
Castán anunció que realizarán, de paso, un estudio pormenorizado, una auditoria de todos los servicios de la UVA «para blindarlos lo más posible», siendo conscientes de que «la invulnerabilidad total no existe» y «son susceptibles de sufrir ataques». «No existen evidencias de que se haya causado ningún daño. El equipo de trabajo está evaluando esta posibilidad y la UVA pondrá los medios necesarios en todos los niveles. Los delincuentes tecnológicos atacan los sistemas más seguros del mundo», concluyó.