Universidad viejaCopyright de la imagen
Universidad de Aberystwyth

Captura de imagen

Old College de Aberystwyth en el paseo marítimo fue construido en la década de 1860

Una universidad galesa ha confirmado que era una de las más de 20 instituciones en el Reino Unido, Estados Unidos y Canadá que se ha visto afectada después de que los piratas informáticos atacaron a un proveedor de computación en la nube.

La Universidad de Aberystwyth aseguró a los estudiantes y ex alumnos actuales que “no se tomaron detalles de la cuenta bancaria ni de la tarjeta de crédito” en el ataque.

El ataque se dirigió a Blackbaud, que es un proveedor líder de software de administración y administración financiera para la educación.

El ataque de ransomware ocurrió en mayo.

La Universidad de Aberystwyth está “investigando con urgencia” después de confirmar que el hackeo “afectó a un ex alumno de la universidad y al portal web y sistema de gestión de información”.

Blackbaud, una empresa con sede en Estados Unidos, ha sido criticada por no divulgar el pirateo de sus sistemas externamente hasta julio y por haber pagado a los piratas informáticos un rescate no revelado.

En algunos de los ataques a otras universidades, los datos se limitaron a los de antiguos alumnos, a quienes se les había pedido que apoyaran financieramente los establecimientos de los que se habían graduado. Pero en otros se extendió al personal, estudiantes existentes y otros seguidores.

‘Garantías’

Alrededor de 10.000 estudiantes estudian en la institución de 148 años de edad en el centro de Gales cada año y la universidad dijo que ha tenido la seguridad de que “los datos robados ahora han sido destruidos y no tiene ninguna razón para creer que fueron mal utilizados”.

“Blackbaud ha ofrecido garantías de que no se tomaron detalles de la cuenta bancaria o de la tarjeta de crédito”, dijo un portavoz de la universidad.

“Nos tomamos muy en serio la seguridad de los datos. Estamos investigando urgentemente este incidente y estamos esperando más detalles de Blackbaud”.

“Estamos en el proceso de contactar a los usuarios del portal en línea y a los destinatarios de nuestros boletines electrónicos de exalumnos y colaboradores a quienes creemos que pueden haberse visto afectados”.

Captura de imagen

La Universidad de Aberystwyth tiene tres facultades académicas y 17 departamentos.

La universidad ha informado de la violación a la Oficina del Comisionado de Información y ha dicho que “cooperará plenamente con cualquier medida adicional que desee tomar”.

Otras instituciones que también se han visto afectadas son la Universidad de York, la Universidad de Loughborough, la Universidad de Londres y el University College de Oxford.

Firma ‘demanda de rescate pagado’

Blackbaud, cuya sede se encuentra en Carolina del Sur, se negó a proporcionar una lista completa de los afectados, diciendo que quería “respetar la privacidad de nuestros clientes”.

“La mayoría de nuestros clientes no formaron parte de este incidente”, afirmó la compañía.

Se refirió al BBC a un comunicado en su sitio web: “En mayo de 2020, descubrimos y detuvimos un ataque de ransomware. Antes de bloquear al ciberdelincuente, el ciberdelincuente eliminó una copia de un subconjunto de datos de nuestro entorno autohospedado”.

La declaración continúa diciendo que Blackbaud pagó la demanda de rescate. Hacerlo no es ilegal, pero va en contra del consejo de numerosas agencias de aplicación de la ley, incluidos el FBI, NCA y Europol.

Blackbaud agregó que se le había dado “confirmación de que la copia [of data] habían eliminado habían sido destruidos “.

Blackbaud ha dicho que está trabajando con la policía y los investigadores de terceros para controlar si los datos se distribuyen o venden en la web oscura, por ejemplo.

Ley de Privacidad

Según el Reglamento general de protección de datos (GDPR), las empresas deben informar una violación significativa a las autoridades de datos dentro de las 72 horas posteriores a la notificación de un incidente, o enfrentar posibles multas.

La Oficina del Comisionado de Información del Reino Unido [ICO], así como a las autoridades de datos canadienses, fueron informados sobre la violación el pasado fin de semana, semanas después de que Blackbaud descubriera el ataque.

Una portavoz de ICO dijo: “Blackbaud ha informado un incidente que afecta a múltiples controladores de datos a la ICO. Haremos consultas tanto a Blackbaud como a los respectivos controladores, y alentaremos a todos los controladores afectados a evaluar si necesitan informar el incidente a la ICO individualmente “.

READ  Los pagos con tarjeta y móvil superan los retiros en cajeros automáticos por primera vez en 2019