La Consejería de Educación confirma que su sistema Educacyl fue objeto de una intrusión el pasado 31 de mayo. Los atacantes accedieron a información sensible del alumnado y de sus tutores legales. La Guardia Civil y la Agencia Española de Protección de Datos ya investigan el caso.
La Consejería de Educación de Castilla y León ha confirmado oficialmente que su sistema de información educativa, alojado en el portal Educacyl, sufrió un ciberataque de carácter grave el pasado 31 de mayo. La brecha de seguridad permitió a los atacantes acceder a datos personales sensibles tanto del alumnado como de sus padres o tutores legales. Según la información facilitada por la propia Consejería a través de un comunicado publicado en su portal oficial y consultado por la agencia ICAL, el incidente comprometió información como el DNI, la fecha de nacimiento, la nacionalidad, el domicilio, el número de teléfono y el correo electrónico de los afectados.
La intrusión fue detectada de forma preliminar en la misma jornada del 31 de mayo, aunque no fue confirmada hasta el 2 de junio, momento en el que se activaron los protocolos de seguridad internos. Un día después, el 3 de junio, la Consejería presentó una denuncia formal ante la Guardia Civil de Valladolid y notificó el incidente a la Agencia Española de Protección de Datos (AEPD), cumpliendo con las obligaciones legales establecidas en el Reglamento General de Protección de Datos (RGPD).
Riesgo de suplantación de identidad y estafas
En su comunicado, la Consejería advierte de que los datos sustraídos podrían ser utilizados con fines ilícitos, entre ellos suplantaciones de identidad, envío de correos electrónicos fraudulentos (phishing) o llamadas comerciales no deseadas. Estas prácticas suponen un grave riesgo para la seguridad y la privacidad de las familias afectadas, muchas de las cuales podrían desconocer que sus datos personales se encuentran en manos de actores malintencionados.
Expertos en ciberseguridad consultados por este medio señalan que la información comprometida es especialmente delicada, dado que permite la elaboración de perfiles falsos o el acceso a otros servicios digitales si los datos se combinan con técnicas de ingeniería social. “Este tipo de ataques, cuando afectan a menores y a sus entornos familiares, tienen un potencial de daño muy alto. No solo es una cuestión técnica, sino también social y emocional”, advierte Laura Gómez, especialista en protección de datos y ciberinteligencia.
Medidas de contención y refuerzo
Como respuesta inmediata al ataque, la Consejería ha implementado una serie de medidas técnicas para contener la amenaza y evitar futuras intrusiones. Entre estas acciones, se incluyen el bloqueo de accesos no autorizados, el refuerzo de las aplicaciones de gestión educativa más afectadas, la incorporación de nuevos filtros de seguridad y la puesta en marcha de sistemas de monitorización avanzados a nivel de red corporativa.
A pesar de estas acciones, la Consejería aún no ha hecho público el número exacto de personas afectadas. No obstante, fuentes internas reconocen que el volumen de datos comprometidos podría ser “muy significativo”, ya que la base de datos del sistema Educacyl abarca a toda la comunidad educativa de Castilla y León, incluyendo a estudiantes de todos los niveles no universitarios, así como a sus familias y personal educativo.
Preocupación entre familias y asociaciones
Diversas asociaciones de padres y madres de alumnos han mostrado su preocupación por la falta de información detallada y por la posible demora en comunicar a los afectados de forma individual. “Nos hemos enterado por los medios y por comunicados genéricos. Queremos saber si los datos de nuestros hijos están comprometidos y qué pasos debemos seguir”, expresó Marta del Río, portavoz de la Federación de AMPAs de Castilla y León.
La Consejería, por su parte, ha habilitado un canal de atención específico para resolver dudas relacionadas con el incidente y ha prometido comunicar de forma personalizada a todas las personas cuyos datos se hayan visto comprometidos, tal y como exige la normativa vigente en materia de protección de datos.
Investigaciones en curso
Tanto la Agencia Española de Protección de Datos como la Guardia Civil han abierto sendas investigaciones para determinar el origen del ataque, la identidad de los responsables y las posibles negligencias que pudieran haberse producido en la gestión de los sistemas informáticos de la Consejería. No se descarta que el ataque forme parte de una campaña más amplia dirigida a instituciones públicas, en un contexto de creciente cibercriminalidad contra entidades educativas en España y Europa.
Mientras tanto, desde el Gobierno autonómico se insiste en que la seguridad de la información y la protección de la privacidad de la comunidad educativa son “prioridades absolutas”, y se ha comprometido a revisar en profundidad todos los procedimientos y sistemas digitales dependientes de la Consejería.
El incidente, además de poner de manifiesto la creciente vulnerabilidad de las infraestructuras digitales públicas, reabre el debate sobre la inversión en ciberseguridad y la necesidad de reforzar la formación y los protocolos de respuesta en caso de crisis digitales.
