La escuela de negocios IESE ha sufrido un ciberataque en el que se han filtrado millones de correos electrónicos y miles de datos personales de alumnos, profesores y empresas vinculadas al centro. Descubre en este post de Conversia las posibles denuncias a las que se enfrenta esta prestigiosa escuela de negocios.
La Nueve detrás del hackeo a IESE
El pasado domingo 16 de septiembre por la noche, el grupo de “hacktivistas” La Nueve (Anonymous) denunció una fuga de datos en la escuela de negocios IESE, a la vez que anunciaba que eran ellos los que se encontraban detrás del ciberataque. En una serie de mensajes publicados en Twitter, los piratas informáticos explicaban que habían conseguido descargar bases de datos con casi 42 millones de correos electrónicos y con más de 300.000 datos personales. Según este grupo de hackers, la información se habría conseguido explotando una vulnerabilidad de los servicios del centro, concretamente un agujero en las bases de datos de los servicios de Microsoft. En uno de los mensajes de Twitter, explicaban: “Trabajar con servidores bajo Windows XP y ASPNET es una osadía, mucho más si se almacenan en ellos 41.728.180 correos, 301.148 datos personales”.
Con este tuit, el grupo daba una pista por donde habían encontrado la vulnerabilidad: el uso de un sistema operativo al que Microsoft ya no da soporte y una versión antigua de ASPNET, un “software” libre creado por Microsoft para la gestión de servidores web.
Confirmación por parte de IESE y cierre de las webs
Pocas horas después de que La Nueve denunciara la fuga de datos, IESE reconoció el fallo y detalló que se había producido en la página web de distribución de material docente y publicaciones, IESE Publishing, así como en su portal de conocimiento IESE Insight. Tras confirmar la fuga, la escuela de negocios explicaba a través de un comunicado: “En IESE somos conscientes de la importancia de salvaguardar los datos de nuestros clientes, alumnos, trabajadores y colaboradores externos y sentimos lo ocurrido. Estamos trabajando con expertos en ciberseguridad y estamos informando a todos nuestros antiguos alumnos y a los clientes de IESE Publishing”.
Ante el incidente, el departamento de tecnologías de la información de IESE decidió deshabilitar aquellos sistemas críticos y cambiar las contraseñas. De hecho, si en la actualidad se intenta acceder a IESE Publishing, nos encontramos un comunicado que informa que la web se está renovando, mientras que IESE Insight se encuentra totalmente deshabilitado. La escuela también informó a través del correo electrónico a sus antiguos alumnos y clientes sobre el ataque, ya que como medida de protección se desactivaron todas las contraseñas de acceso de antiguos alumnos y de clientes de IESE Publishing. En consecuencia, todo el mundo que cuente con los servicios de IESE tendrá que cambiar sus contraseñas para poder acceder nuevamente a ellos.
Este “hackeo” podría exponer a IESE a elevadas sanciones, teniéndose en cuenta el Reglamento General de Protección de Datos (RGPD), de plena aplicación desde el pasado mes de mayo. El grupo de piratas informáticos La Nueve ya ha protagonizado otros incidentes como el hackeo a la web de El Corte Inglés (2016) o el robo de las bases de datos de la cadena iDental.
Descubre más noticias relacionadas con denuncias en materia de protección de datos en nuestro blog de Conversia.
COMENTARIOS RECIENTES