La Universidad de Valladolid comunica que ha sido víctima de un ataque y robo de datos personales alojados en la página web del Servicio de Relaciones Internacionales, hecho del que se ha tenido constancia en la madrugada del 10 al 11 de enero de 2019.
La Universidad de Valladolid ha puesto estos hechos en conocimiento de la Agencia Española de Protección de Datos y ha formalizado una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, que la han remitido a la Brigada de Delitos Tecnológicos.
La Universidad ha hecho público un comunicado en el que señala que "mantiene un compromiso firme con los derechos de la comunidad universitaria y con la garantía del derecho fundamental a la protección de datos y de su seguridad. Desde la entrada en vigor del Reglamento Europeo de Protección de Datos el pasado 25 de mayo de 2018, la Universidad ha actualizado su esquema de seguridad para adaptarnos a la nueva normativa, y dispone de un Responsable de Privacidad y de un Delegado de Protección de Datos, además de un Comité de Seguridad de la Información. La Secretaria General, en su calidad de Responsable de la Información, del Servicio de Tecnologías de la Información y de las Telecomunicaciones, y del Desarrollo de la Política de Protección de Datos, ha asumido la gestión de este incidente. Estamos trabajando al servicio de la comunidad universitaria para mejorar la seguridad de los sistemas de información afectados y lamentamos las molestias que este incidente pueda ocasionar.
Desde el mismo momento en que hemos tenido conocimiento de estos hechos hemos activado los mecanismos establecidos para afrontarlos:
- Se ha procedido a iniciar la evaluación del incidente de acuerdo a los protocolos establecidos por el Esquema Nacional de Seguridad del Real Decreto 3/2010, de 8 de enero, en su art. 24.
- Se han seguido los protocolos de actuación y notificación a la Agencia Española de Protección de Datos según recoge el Reglamento General de Protección de Datos 2016/679, en su art. 33. A su vez, se ha tenido en cuenta lo dictado en la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales en sus disposiciones adicionales primera y novena.
Las operaciones llevadas a cabo o planificadas hasta la fecha son las siguientes:
1- Bloqueo de la máquina afectada. Volcado de la última copia de seguridad almacenada en una máquina diferente
2- Elaboración de un informe y remisión a la Agencia Española de Protección de Datos dentro del plazo establecido de 72 horas.
3- Identificación de las personas afectadas, y clasificación según el riesgo al que han sido expuestas. Redacción de un mensaje para cada una de dichas categorías.
4- Presentación de una denuncia ante las Fuerzas y Cuerpos de seguridad del Estado.
5- Envío de un mensaje en dos idiomas a las personas afectadas, con activación de un sistema de acuse de recibo para las cuentas que no son de la Universidad de Valladolid. (En curso)
6- Notificación a la Agencia Española de Protección de Datos del envío de los citados mensajes. (Pendiente)
Hemos de enfatizar que lo que se ha detectado ha sido una vulnerabilidad, pero no existen evidencias de que se haya causado ningún daño. El equipo de trabajo está evaluando esta posibilidad y la Universidad pondrá los medios necesarios en todos los niveles. En la sociedad actual los delincuentes tecnológicos son con frecuencia protagonistas de perpetrar ataques, incluso en los sistemas más seguros del mundo. Haber sido víctima de un ataque de esta naturaleza nos impulsa a apoyar a los posibles damnificados, porque la mayor preocupación de la Universidad de Valladolid son las personas.
Los detalles concretos y el alcance de este ataque que ha comprometido nuestra seguridad no pueden hacerse públicos, ya que ello podría afectar a las investigaciones que se están llevando a cabo e incidir negativamente sobre la propia seguridad.
La Universidad de Valladolid está trabajando intensamente con las autoridades y los expertos en seguridad informática para conocer el origen y alcance del ataque y minimizarlo al máximo".