Una universidad galesa ha confirmado que era una de las más de 20 instituciones en el Reino Unido, Estados Unidos y Canadá que se ha visto afectada después de que los piratas informáticos atacaron a un proveedor de computación en la nube.
La Universidad de Aberystwyth aseguró a los estudiantes y ex alumnos actuales que “no se tomaron detalles de la cuenta bancaria ni de la tarjeta de crédito” en el ataque.
El ataque se dirigió a Blackbaud, que es un proveedor líder de software de administración y administración financiera para la educación.
El ataque de ransomware ocurrió en mayo.
La Universidad de Aberystwyth está “investigando con urgencia” después de confirmar que el hackeo “afectó a un ex alumno de la universidad y al portal web y sistema de gestión de información”.
Blackbaud, una empresa con sede en Estados Unidos, ha sido criticada por no divulgar el pirateo de sus sistemas externamente hasta julio y por haber pagado a los piratas informáticos un rescate no revelado.
En algunos de los ataques a otras universidades, los datos se limitaron a los de antiguos alumnos, a quienes se les había pedido que apoyaran financieramente los establecimientos de los que se habían graduado. Pero en otros se extendió al personal, estudiantes existentes y otros seguidores.
‘Garantías’
Alrededor de 10.000 estudiantes estudian en la institución de 148 años de edad en el centro de Gales cada año y la universidad dijo que ha tenido la seguridad de que “los datos robados ahora han sido destruidos y no tiene ninguna razón para creer que fueron mal utilizados”.
“Blackbaud ha ofrecido garantías de que no se tomaron detalles de la cuenta bancaria o de la tarjeta de crédito”, dijo un portavoz de la universidad.
“Nos tomamos muy en serio la seguridad de los datos. Estamos investigando urgentemente este incidente y estamos esperando más detalles de Blackbaud”.
“Estamos en el proceso de contactar a los usuarios del portal en línea y a los destinatarios de nuestros boletines electrónicos de exalumnos y colaboradores a quienes creemos que pueden haberse visto afectados”.
La universidad ha informado de la violación a la Oficina del Comisionado de Información y ha dicho que “cooperará plenamente con cualquier medida adicional que desee tomar”.
Otras instituciones que también se han visto afectadas son la Universidad de York, la Universidad de Loughborough, la Universidad de Londres y el University College de Oxford.
Firma ‘demanda de rescate pagado’
Blackbaud, cuya sede se encuentra en Carolina del Sur, se negó a proporcionar una lista completa de los afectados, diciendo que quería “respetar la privacidad de nuestros clientes”.
“La mayoría de nuestros clientes no formaron parte de este incidente”, afirmó la compañía.
Se refirió al BBC a un comunicado en su sitio web: “En mayo de 2020, descubrimos y detuvimos un ataque de ransomware. Antes de bloquear al ciberdelincuente, el ciberdelincuente eliminó una copia de un subconjunto de datos de nuestro entorno autohospedado”.
La declaración continúa diciendo que Blackbaud pagó la demanda de rescate. Hacerlo no es ilegal, pero va en contra del consejo de numerosas agencias de aplicación de la ley, incluidos el FBI, NCA y Europol.
Blackbaud agregó que se le había dado “confirmación de que la copia [of data] habían eliminado habían sido destruidos “.
Blackbaud ha dicho que está trabajando con la policía y los investigadores de terceros para controlar si los datos se distribuyen o venden en la web oscura, por ejemplo.
Ley de Privacidad
Según el Reglamento general de protección de datos (GDPR), las empresas deben informar una violación significativa a las autoridades de datos dentro de las 72 horas posteriores a la notificación de un incidente, o enfrentar posibles multas.
La Oficina del Comisionado de Información del Reino Unido [ICO], así como a las autoridades de datos canadienses, fueron informados sobre la violación el pasado fin de semana, semanas después de que Blackbaud descubriera el ataque.
Una portavoz de ICO dijo: “Blackbaud ha informado un incidente que afecta a múltiples controladores de datos a la ICO. Haremos consultas tanto a Blackbaud como a los respectivos controladores, y alentaremos a todos los controladores afectados a evaluar si necesitan informar el incidente a la ICO individualmente “.
Dynamic professional with a unique combination of technical expertise and business acumen. Progressive specialization in the management of independent profit centers and management of own companies. Exploring disruptive innovations in bespoke user experience and I love writing tech articles.