El autor del ataque hace un año tuvo acceso a 20.258 datos personales que luego filtró en una página web

El Instituto Nacional de Tecnologías de la Comunicación (Inteco), y cuyo único socio es la entidad pública empresarial Red.es, sufrió el pasado año un ataque informático que posibilitó el robo de datos confidenciales de alumnos y su publicación masiva en otras páginas web como ‘confianzaonline.es’. Ahora, la Agencia Española de Protección de Datos ha lanzado una advertencia al Inteco por las carencias en su seguridad. No en vano, debido al ataque, un hacker tuvo acceso a 20.258 datos personales.

Pese a que desde Inteco llegaron a realizar un comunicado pidiendo disculpas a los alumnos afectados, el alcance del ataque se ha conocido completamente ahora, en una resolución de la agencia. Según afirma la agencia, el problema que permitió acceder a los datos es que la Web del Inteco no estaba diseñada para ejercer ningún tipo de control de acceso sobre sus procedimientos y “resulta que se habilitó como público el acceso a una plataforma en internet». Así, dos personas aprovecharon la vulnerabilidad del sistema informático para acceder a Inteco a través de Webs de Rusia y Suecia.

Inteco alegó durante el procedimiento que había adoptado medidas elevadas de seguridad, y que la existencia de vulnerabilidades fue aprovechada por un intruso dotado de elevados conocimientos técnicos. Según alegó Inteco, “no cabía imputarle responsabilidad alguna por una intrusión organizada y planeada”

Para la agencia, sin embargo, los hechos suponen la comisión por parte de Inteco de una infracción del artículo 9.1 de la LOPD, por la falta de medidas de seguridad del sistema de información, que posibilitó el acceso al perfil de 20.246 usuarios, llegándose a comprobar por la agencia que se habían llegado a publicar en otra Web posteriormente más de 1.000 datos personales.

A pesar de todo esto, la agencia ha decidido no sancionar a Inteco, al considerar que reaccionó de forma diligente, dirigiéndose a los sitios web en los que fueron publicados los datos y a Google para que los datos fueran retirados de dichos sitios web, y “que la incidencia no resulta de una ausencia total de medidas de seguridad”.