En riesgo miles de datos personales de la escuela de negocios IESE por un «hackeo»
El centro de estudios se encuentra «valorando el alcance» de este incidente producido en su apartado de publicaciones, pero un grupo de «hacktivistas» asume la autoría del mismo
Miles de datos personales en riesgo por una vulnerabilidad. El grupo de «hacktivistas» llamado La Nueve, bastión español de la red Anonymous, ha asumido la autoría de un ciberataque a la base de datos de la escuela de negocios IESE . El centro de estudios ha reconocido el incidente que se ha producido en la web de compras de productos y publicaciones. En declaraciones a este diario , ha asegurado que se ha iniciado una investigación para valorar el alcance, aunque insisten en que, por el momento, «la información es reducida».
En una serie de mensajes publicados en su perfil de la red Twitter , los piratas informáticos han conseguido descargar bases de datos que incluyen unos 41.782.180 correos electrónicos . En total, unos 301.148 datos personales de sus clientes, profesorado y empresas, así como las contraseñas y direcciones de particulares, así como facturas. Un paquete de datos que se ha conseguido robar tras explotar una vulnerabilidad de los servidores del centro.
Un agujero en las bases de datos de los servicios de Microsoft ha sido crucial para que los autores del ciberataque pudieran hacerse con la información. «Trabajar con servidores bajo Windows XP y ASPNET es una osadía, mucho más si se almacenan en ellos 41.782.180 correos, 301.148 datos personales », reconocen fuentes de los «hacktivistas» en una serie de mensajes en Twitter, en los que han avanzado que pese a divulgar una selección de ficheros todavía no han enseñado «todo lo que tienen al descubierto».
El centro de estudios ha reconocido este problema de seguridad informática: «Lamentamos mucho el incidente y estamos trabajando para proteger la privacidad de nuestros clientes», aducen. El suceso se ha producido a través de la web de venta de material IESE Publishing. «Estamos analizando el alcance del ataque y hemos cerrado el acceso a la tienda online», añaden.
Este «hackeo» puede exponerse a sanciones si se atiende al Reglamento General de Protección de Datos que entró en vigor en mayo. «En un caso así, el proceder sería verificar la realidad de las afirmaciones y actuar después en base a ello», reconoce Sergio Carrasco , jurista experto en derecho digital, en declaraciones a ABC.
En su opinión, la entidad es responsable de la custodia de los datos personales que puedan haber sido afectados, «con una obligación de resultado que se habría incumplido al permitir los accesos no autorizados». Este experto, además, insiste en que el incidente viene agravado por una «posible negligencia adicional» fruto de la plataforma concreta utilizada por el servidor «que podría haber dejado la plataforma vulnerable a ataques conocidos por falta de actualizaciones».
El grupo de piratas informáticos La Nueve ha estado detrás de otros incidentes como el de 2016 en el que se colaron en la web de El Corte Inglés, el «hackeo» a diversos ayuntamientos como el de Guadalajara, el robo de las bases de datos de la cadena de odontología iDental o, incluso, la entidad de derechos de autor Cedro.
