La Universidad Carlos III de Madrid sufre un ciberataque que ha robado datos personales de trabajadores y alumnos

El centro recomienda a los afectados prestar especial atención a posibles comunicaciones sospechosas que pudieran recibir en los próximos días

La Universidad Carlos III de Madrid (UC3M) sufrió el pasado 12 de marzo un ataque malicioso de phishing que ha supuesto la puesta a disposición del atacante de datos personales de usuarios de la institución.

En un comunicado enviado por correo electrónico a trabajadores y alumnos, al que ha tenido acceso Europa Press, la UC3M informa de un incidente de seguridad mediante la utilización de técnicas de phishing que ha permitido el acceso no autorizado e ilegítimo a algunas cuentas de correo electrónico de usuarios.

En este contexto, la institución académica recuerda que la protección de la privacidad y la seguridad de los datos personales que trata «es un compromiso prioritario, así como la transparencia en la comunicación de cualquier aspecto relevante al respecto».

Por ello, comunica que este incidente «ha comprometido la confidencialidad de ciertos datos personales de los que la Universidad es responsable de su tratamiento».

La Universidad activa los protocolos de seguridad

A pesar de las medidas de seguridad implementadas, la Universidad reconoce haber detectado evidencias de «un acceso no autorizado e ilegítimo» a ciertos datos personales de su titularidad. La investigación en el momento actual refleja que el actor malicioso habría tenido acceso y podría haber exfiltrado de los sistemas datos como cuentas de correo electrónico o usuarios.

La Universidad Carlos III ha activado los protocolos y procedimientos de seguridad establecidos al efecto, así como todas las medidas técnicas y organizativas necesarias para contenerlo, mitigar sus efectos y tratar de prevenir que se repita en el futuro, con el fin de contener en la mayor medida posible el incidente detectado.

Dichas medidas incluyen, entre otras, el bloqueo inmediato de los usuarios de acceso comprometidos, el análisis de los registros logs y la presente comunicación a los afectados por los datos comprometidos en el incidente.

La investigación continúa

Igualmente, está realizando un seguimiento continuo especial de los sistemas para detectar cualquier actividad sospechosa. Asimismo, cumpliendo con la normativa aplicable, tras una valoración inicial del incidente, la Universidad lo ha comunicado a las autoridades competentes, incluyendo la Agencia Española de Protección de Datos y el Centro Criptológico Nacional.

La investigación tanto a nivel interno como con los proveedores de la Universidad continúa en curso para obtener una comprensión completa de lo sucedido y tomar cualquier otra medida que sea necesaria.

Posibles consecuencias

El acceso no autorizado a los datos por parte del actor malicioso podría acarrear el intento, por su parte, de usurpar o suplantar su identidad, publicar dichos datos con la correspondiente pérdida de control sobre los mismos o utilizarlos para emprender acciones de phishing o envío de spam contra los afectados.

Por ello, la UC3M recomienda a los afectados prestar especial atención a posibles comunicaciones sospechosas que pudieran recibir en los próximos días.

Asimismo, les aconseja no pinchar en enlaces recibidos de cualquier modo, ni proporcione datos personales o información sensible a personas que no conozca de primera mano y que, en caso de cualquier sospecha de uso fraudulento de su información o datos, lo ponga en conocimiento de la Universidad y de las Fuerzas y Cuerpos de Seguridad del Estado.

La UC3M pide disculpas por cualquier inconveniente que este incidente pueda ocasionar a los usuarios y reitera su compromiso «con la seguridad y con el cumplimiento de la normativa de protección de datos».