ARTDEPARTMENT
ARTDEPARTMENT
A finales del pasado mes de mayo, una emergencia se encendía en el sistema educativo de Castilla y Bravo: un supuesto hacker, bajo el seudónimo Mafiatributaria, afirmaba sobrevenir accedido a la saco de datos del portal Educacyl y ofrecía en saldo más de un millón de registros personales de estudiantes y familiares. Entre la información filtrada, aseguraba disponer de numerosos datos personales de los mismos.
Por otra parte, el hacker afirmaba contar incluso con una API eficaz que permitía agenciárselas información internamente de la saco de datos, y un exploit con capacidad para restablecer contraseñas de cualquier beneficiario del sistema, lo que habría facilitado el camino no facultado continuado incluso a posteriori del ataque original.
Sin secuestro, pese a la reserva de las declaraciones, la respuesta original de la Reunión fue de inutilidad rotunda.
Mensaje en la 'Dark Web' que puso sobre aviso de lo ocurrido
El 2 de junio, escasamente dos días a posteriori del supuesto ataque, la consejera de Educación, Rocío Lucas, declaraba que "no hay señal de ningún hackeo" y aseguró que Educacyl funcionaba con "plena normalidad". Esta afirmación fue reiterada en distintos medios, donde se insistía en que los responsables técnicos del sistema no habían detectado intrusiones.
En paralelo, docentes y usuarios reportaban fallos en la plataforma, y los medios especializados en ciberseguridad comenzaban a difundir las amenazas publicadas por el supuesto hacker. Aun así, la Reunión mantuvo su postura.
Una semana más tarde, en sede parlamentaria, la consejera Lucas matizó su discurso: admitió de repente que se había tenido anuncio de un "intento de camino no facultado" y que se había extenso una investigación en colaboración con la empresa desarrolladora y se había notificado a la Agencia Española de Protección de Datos y a la Cuidado Civil. Esta progreso de la interpretación oficial se dio tras fuertes críticas de la competición, que acusó a la Reunión de "desmentir la verdad".
Finalmente, ayer 25 de junio, la Reunión confirmó oficialmente el ciberataque. En un comunicado, se reconoció que el 31 de mayo había tenido empleo una intrusión que comprometió datos sensibles del alumnado y sus tutores legales, incluyendo DNI, teléfonos, direcciones y correos electrónicos. La denuncia en presencia de la Cuidado Civil se formalizó el 3 de junio, escasamente un día a posteriori de las declaraciones públicas que todavía hablaban de "normalidad".
La propia consejera, que días ayer había incapaz cualquier intrusión, admitió en sede parlamentaria que se actuó "de inmediato" para contener la brecha de seguridad y proteger los datos afectados. La Reunión implementó entonces nuevos filtros de seguridad y sistemas de monitorización.
Paso a la plataforma Educacyl
La confirmación oficial del ciberataque a Educacyl por parte de la Reunión de Castilla y Bravo no solo ha desvelado la magnitud del incidente en términos técnicos, sino que igualmente ha dejado al descubierto una serie de consecuencias que afectan directamente a miles de familias y al sistema educativo autonómico.
El ataque ha comprometido datos personales de estudiantes y tutores legales: nombres, apellidos, documentos de identidad (DNI/NIE), fechas de origen, cuna, dirección física, teléfonos y correos electrónicos.
La posesión de este conjunto de datos supone una vulnerabilidad crítica: permite a actores maliciosos realizar suplantaciones de identidad, fraudes contractuales o bancarios, y ataques dirigidos como phishing (correos electrónicos fraudulentos que simulan provenir de instituciones legítimas).
La posibilidad de llamadas o correos con fines comerciales ilegítimos, chantajes o acoso igualmente es auténtico, especialmente cuando se comercio de menores y sus familias.
El Reglamento Genérico de Protección de Datos (RGPD) establece que cualquier entidad responsable de una brecha de seguridad debe notificarla a la Agencia Española de Protección de Datos (AEPD) en un plazo mayor de 72 horas, así como informar a los afectados si existe peligro significativo.
En este caso, la Consejería cumplió con la notificación formal que exige el artículo 33 del reglamento, pero el artículo 34 igualmente establece que si la brecha de seguridad sustancia un detención peligro para los derechos y libertades de los afectados, la entidad (la Reunión, en este caso) igualmente está obligada a comunicarlo directamente a los interesados.
Por lo tanto, el mensaje original de la Reunión negando públicamente todo lo ocurrido todavía podría ser objeto de revisión por parte del regulador.
En paralelo, sindicatos como CSIF han pedido esclarecer responsabilidades políticas, mientras que partidos de la competición han obligado una auditoría completa del sistema de seguridad de Educacyl y una comparecencia urgente en las Cortes autonómicas.
Imagen | Marcos Merino mediante IA
En Genbeta | Google+ y Flash en pleno 2025: así de actualizada está la 'formación digital' en la que Castilla y Bravo invierte 6,8 millones
Compartir este artículo
Consultoria Personalizada
¡Si aun no tienes presencia en internet o
necesitas ayuda con tus proyectos, por favor, escribenos!
En ARTDEPARTMENT nos especializamos en brindar soluciones para que tu negocio, empresa o proyecto sea visible en internet.