La Universidad de Burgos ha sido víctima de un ataque perpetrado por hackers a la seguridad de la información mediante el acceso no autorizado a datos personales de determinados usuarios, del que se ha tenido constancia a las 09:30 horas del día 14 de enero de 2020, según señala un comunicado del Rectorado.
Los detalles concretos y su alcance no pueden hacerse públicos, ya que podría afectar a las investigaciones que se están llevando a cabo e incidir negativamente sobre la propia seguridad. En todo caso, en este momento podemos confirmar que no se han visto comprometidas contraseñas de acceso a cuentas de correo ni a datos relacionados con tarjetas de crédito ni cuentas bancarias.
De manera inmediata tras tener conocimiento de dicho incidente se han activado los mecanismos establecidos para afrontar esta situación:
- Se ha activado el plan de contingencia y se ha evaluado el alcance del incidente en cumplimiento del procedimiento previsto en el art. 24 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad.
- Se están siguiendo los protocolos de actuación y notificación a la Agencia Española de Protección de Datos según recoge el art. 33 del Reglamento General de Protección de Datos 2016/679. A su vez, se ha tenido en cuenta el contenido de las Disposiciones Adicionales primera y novena de la Ley Orgánica de Protección de
Datos y Garantía de Derechos Digitales.
Igualmente, la Universidad de Burgos ha llevado a cabo las siguientes operaciones:
1- Bloqueo de la máquina afectada y retirada del acceso de internet.
2- Se está trabajando en la corrección de la vulnerabilidad.
3- Elaboración de un Informe para su remisión a la Agencia Española de Protección de Datos dentro del plazo establecido de 72 horas.
4- Identificación de las personas afectadas, a las que se las ha enviado un mensaje, en el que se las ha informado de los datos comprometidos, acciones emprendidas, riesgos derivados del ataque, recomendaciones adicionales de seguridad y puesta a su disposición de los técnicos del Centro de Atención a Usuarios de la UBU.
5- Presentación de una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
La Universidad desea manifestar su compromiso firme con los derechos de la comunidad universitaria y del resto de ciudadanos, así como con la garantía del derecho fundamental a la protección de datos y de su seguridad. Hemos de enfatizar que lo que se ha detectado ha sido una vulnerabilidad, pero no existen evidencias de que se haya afectado a ninguna otra información personal relevante ni se haya causado ningún daño. El equipo de trabajo sigue evaluando esta posibilidad, al mismo tiempo que la Universidad pondrá los medios necesarios en todos los niveles para la protección de la información y para garantizar su seguridad.
Con frecuencia, somos testigos en la realidad contemporánea de que los delincuentes tecnológicos son protagonistas de perpetrar ataques, incluso contra los sistemas más seguros del mundo. Además de lamentar las molestias que este incidente haya podido ocasionar, haber sido víctima de un ataque de esta naturaleza nos reactiva en el apoyo a los posibles damnificados, porque la mayor preocupación de la Universidad de Burgos son las personas y la protección de sus derechos.
Burgos, 16 de enero de 2020
Notificación directa a las personas potencialmente afectadas.
Apreciado Sr./ Apreciada Sra.
La Universidad de Burgos ha tenido conocimiento de un ataque informático a datos personales de usuarios de la Universidad que no ha comprometido en ningún caso datos relacionados con tarjetas de crédito o cuentas bancarias.
Aunque es altamente probable que los usuarios afectados sean muy pocos, el compromiso de la UBU con los derechos fundamentales de la comunidad universitaria y de las personas que se relacionan con la institución, hace pertinente que le escribamos para su mayor tranquilidad. A continuación, le indicamos los aspectos básicos relacionados con el mencionado ataque:
1.-Datos personales afectados.
▪ Número de documento de identidad.
▪ Apellidos, Nombre.
▪ Dirección de correo electrónico (en ningún caso se ha comprometido la contraseña de la cuenta).
▪ Importe de la transacción.
2.-Acciones emprendidas.
De modo inmediato, tras tener conocimiento del ataque, hemos retirado de internet el acceso a la información y las bases de datos han sido trasladadas a un entorno seguro. Nuestros técnicos han determinado el modo en el que se ha producido el incidente y están trabajando en la adopción de medidas adicionales. En este momento hemos verificado que en el ámbito de nuestros sistemas de información este ataque no ha afectado a ninguna otra información personal relevante ni causado ningún otro daño. La responsable de seguridad sigue adoptando las medidas necesarias para la protección de la información y para garantizar la seguridad de la misma.
3.-Riesgos derivados del ataque para nuestros usuarios.
Según experiencias en otras entidades, esta información podría ser utilizada para alguna de las siguientes prácticas:
▪ Envío de información comercial no solicitada (SPAM).
▪ Suplantaciones de identidad. Aunque en este caso el riesgo es realmente limitado, al no estar comprometida la contraseña de la cuenta.
▪ Ataques de phishing simulando mensajes remitidos por la Universidad de Burgos.
3.-Recomendaciones adicionales de seguridad.
Con carácter preventivo le recomendamos realizar algunas comprobaciones:
▪ Verificar si se ha incrementado el SPAM en su cuenta de correo.
▪ Realizar búsquedas en las principales redes sociales (Facebook, Instagram, Linkedin, Twitter, etc.) para verificar si se ha podido suplantar su identidad.
▪ Asegurarse en el caso de recibir mensajes aparentemente remitidos desde la Universidad de Burgos que la estructura del mismo y el remitente sean confiables. Esto es:
- que se realicen desde una cuenta del tipo ____@ubu.es:
- que los enlaces a nuestra información pertenezcan a nuestro dominio “ https://www.ubu.es/”;
- y que las identidades en el pie de firma y la identidad corporativa se corresponda con la propia de la Universidad.
4.-Cómo podemos ayudarle.
Si desea alguna información adicional, puede ponerlo en conocimiento a través de la cuenta info.incidente@ubu.es. Los técnicos de nuestro Centro de Atención a Usuarios se ocuparán de atenderle lo más rápidamente posible.
5.-Otras acciones emprendidas.
La Universidad de Burgos ha puesto estos hechos en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado, y en cumplimiento de la normativa vigente, lo pondrá en conocimiento de la Agencia Española de Protección de Datos.
La Universidad mantiene un compromiso firme con los derechos de la comunidad universitaria y con la garantía del derecho fundamental a la protección de datos y de su seguridad. Estamos trabajando para mejorar la seguridad de los sistemas de información afectados y lamentamos las molestias que este incidente le pueda ocasionar.
El Secretario General de la Universidad de Burgos
Miguel Angel Iglesias Río