La Universidad de Valladolid ha sido víctima de un ataque y robo de datos personales alojados en la página web del Servicio de Relaciones Internacionales, hecho del que se ha tenido constancia en la madrugada del 10 al 11 de enero de 2019.
La propia Univesidad ha mandado un comunicado en el que explica la incidencia:
«La Universidad mantiene un compromiso firme con los derechos de la comunidad universitaria y con la garantía del derecho fundamental a la protección de datos y de su seguridad. Desde la entrada en vigor del Reglamento Europeo de Protección de Datos el pasado 25 de mayo de 2018, la Universidad ha actualizado su esquema de seguridad para adaptarnos a la nueva normativa, y dispone de un Responsable de Privacidad y de un Delegado de Protección de Datos, además de un Comité de Seguridad de la Información. La Secretaria General, en su calidad de Responsable de la Información, del Servicio de Tecnologías de la Información y de las Telecomunicaciones, y del Desarrollo de la Política de Protección de Datos, ha asumido la gestión de este incidente. Estamos trabajando al servicio de la comunidad universitaria para mejorar la seguridad de los sistemas de información afectados y lamentamos las molestias que este incidente pueda ocasionar», explicó en un comunicado.
Desde la entidad señalan que han activado «los mecanismos establecidos para afrontarlos» nada más tener constancia de los hechos:
– Se ha procedido a iniciar la evaluación del incidente de acuerdo a los protocolos establecidos por el Esquema Nacional de Seguridad del Real Decreto 3/2010, de 8 de enero, en su art. 24.
– Se han seguido los protocolos de actuación y notificación a la Agencia Española de Protección de Datos según recoge el Reglamento General de Protección de Datos 2016/679, en su art. 33. A su vez, se ha tenido en cuenta lo dictado en la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales en sus disposiciones adicionales primera y novena.
Las operaciones llevadas a cabo o planificadas hasta la fecha, según apunta la UVa, son las siguientes:
1- Bloqueo de la máquina afectada. Volcado de la última copia de seguridad almacenada en una máquina diferente.
2- Elaboración de un informe y remisión a la Agencia Española de Protección de Datos dentro del plazo establecido de 72 horas.
3- Identificación de las personas afectadas, y clasificación según el riesgo al que han sido expuestas. Redacción de un mensaje para cada una de dichas categorías.
4- Presentación de una denuncia ante las Fuerzas y Cuerpos de seguridad del Estado.
5- Envío de un mensaje en dos idiomas a las personas afectadas, con activación de un sistema de acuse de recibo para las cuentas que no son de la Universidad de Valladolid. (En curso)
6- Notificación a la Agencia Española de Protección de Datos del envío de los citados mensajes. (Pendiente)
«Hemos de enfatizar que lo que se ha detectado ha sido una vulnerabilidad, pero no existen evidencias de que se haya causado ningún daño. El equipo de trabajo está evaluando esta posibilidad y la Universidad pondrá los medios necesarios en todos los niveles. En la sociedad actual los delincuentes tecnológicos son con frecuencia protagonistas de perpetrar ataques, incluso en los sistemas más seguros del mundo. Haber sido víctima de un ataque de esta naturaleza nos impulsa a apoyar a los posibles damnificados, porque la mayor preocupación de la Universidad de Valladolid son las personas», explica.
La Universidad apunta que los detalles concretos y el alcance de este ataque que ha comprometido su seguridad «no pueden hacerse públicos», ya que ello «podría afectar a las investigaciones que se están llevando a cabo e incidir negativamente sobre la propia seguridad».
«La Universidad de Valladolid está trabajando intensamente con las autoridades y los expertos en seguridad informática para conocer el origen y alcance del ataque y minimizarlo al máximo», concluye el comunicado.