El director general del Instituto Nacional de Tecnología de la Comunicación (Inteco), Víctor Izquierdo, ha asegurado este miércoles que el ataque informático sufrido en su Plataforma de Formación online ha supuesto el robo de "parte" de los datos de los 20.0258 usuarios referentes a nombres y apellidos, números de teléfono, direcciones, sexo y fecha de nacimiento, aunque no de DNI, correos electrónicos ni datos económicos, ya que éstos últimos no habían sido facilitados.

Por este motivo, los datos "robados" son de nivel bajo, según la Ley de Protección de Datos. A ello hay que sumar el hecho de que el registro de algunas de las informaciones de los usuarios es de carácter voluntario, por lo que muchos de los datos no se encuentran registrados en la base.

No obstante, Víctor Izquierdo lamentó estos hechos y señaló que el Inteco también el víctima del ataque informático y recalcó que el Instituto está "al lado" de las personas afectadas.

En este sentido, garantizó que se tratan de minimizar el impacto de este hecho sobre los usuarios y apuntó que éstos, si así lo desean, pueden acogerse al derecho de cancelación, una solicitud que sería atendida de manera inmediata. En todo caso, solicitó que continúen adscritos a la Plataforma de Formación, que próximamente será renovada y mejorada, y destacó que "merece la pena" confiar en el Instituto.

De la misma forma, aseguró no comprender la motivación de esta actuación. Al respecto, precisó que en el caso de que la intención fuese dejar en evidencia al Inteco, no sería necesaria la publicación de datos de los usuarios. Además, concretó que el hecho delictivo se agrava, ya que al robo de los datos se suma la difusión en internet de los mismos.

"transparencia e inmediatez" de respuesta

Por otra parte, Víctor Izquierdo se refirió a la "transparencia e inmediatez" de la respuesta del Inteco ante el incidente. En este sentido, indicó que el Instituto tuvo conocimiento del ataque el pasado lunes día 6 a las 11.24 horas y a las 11.30 horas ya se puso en marcha el protocolo interno de respuesta de incidentes.

Posteriormente, a las 11.50 horas, se cortó el acceso a la Plataforma de Formación online con el exterior como medida de precaución y a las 12.00 horas se dio aviso a Confianza Online del ataque, ya que en su web se publicaban los datos de los usuarios de Inteco.

Después de estas actuaciones, se denunció el hecho ante la autoridad policial competente, se solicitó a Google que eliminara del caché los datos de los afectados y se informó a los usuarios a través de correo electrónico del ataque sufrido, para posteriormente informar de lo sucedido a la Agencia Española de Protección de Datos, que ha abierto una investigación.

En el momento actual se trabaja en el análisis forense de la Plataforma, que, una vez concluido, aportará pruebas que se derivarán a los órganos policiales competentes y posteriormente se reanudará el servicio de la plataforma desde un nuevo espacio mejorado.

Medidas de seguridad

Víctor Izquierdo destacó que el Inteco tiene implantado un sistema de seguridad interna. Además, cuenta con la certificación ISO 27001 para la seguridad de la información, realiza auditorías de seguridad y de accesibilidad periódicamente y el fichero de usuarios de la Plataforma de Formación está dentro de la Agencia Española de Protección de Datos.

No obstante, señaló que nunca se puede conseguir el 100 por ciento de la seguridad, por lo que el objetivo es minimizar los riesgos en caso de un ataque.

Por otra parte, consideró que este incidente justifica más la existencia del Inteco en el campo de la seguridad y descartó que su origen resida en una "brecha" de seguridad del Instituto. "No asumimos ningún error. Nuestros procedimientos responden a las prácticas más excelentes en el campo de la seguridad de la información", sentenció.

Al respecto, concretó que cualquier hacker con conocimientos suficientes podría ser el autor de los hechos, sin necesidad de que tenga conocimientos internos del Inteco y, en principio, descartó que la autoría provenga de los empleados del Centro, hacia quienes expresó su confianza.

En este contexto, estimó que determinar las causas de lo sucedido es prematuro, aunque posiblemente alguna persona no autorizada encontró "un resquicio" y pudo acceder a sus datos y a los del resto de los usuarios.

"es prematuro" responsabilizar a un grupo

En esta misma línea, expresó que es "muy prematuro" achacar la autoría de los hechos a algún grupo o colectivo, aunque se trata de una investigación que lleva a cabo la policía y no el Inteco.

Respecto a la multiplicación de la publicación de estos datos en servidores, manifestó que se trata de algo consustancial a internet, aunque, en colaboración con los Centros de Respuesta de Incidentes de Seguridad (CERT) se vigila la diversificación de esta información para instar a los servidores a que retiren el contenido.

Finalmente, opinó que este suceso no daña la imagen del Instituto, sino que sirve para sensibilizar a la sociedad sobre la necesidad de la seguridad de la información. "Creemos que ser transparentes e informar es un activo. Espero que mejore la reputación", concluyó.

Consulta aquí más noticias de León.