LA JUNTA DE CyL RECONOCE EL 'HACKEO' DE MÁS DE UN MILLÓN DE DATOS PERSONALES DE ALUMNOS Y FAMILIAS DESPUÉS DE NEGARLO DURANTE SEMANAS

La Consejería de Educación de la Junta de Castilla y León ha confirmado este miércoles, a través de una escueta comunicación publicada en su portal oficial, que sufrió un ciberataque el pasado 31 de mayo que comprometió los datos personales de más de un millón de alumnos, sus familiares y docentes. Un reconocimiento que llega después de semanas de desmentidos públicos por parte del Gobierno autonómico y de su máxima responsable educativa, Rocío Lucas (PP), quien aseguró que no había "ni rastro de ningún hackeo".

Lo que durante un mes fue negado tajantemente por la Junta, incluso ante el interés de algunos grupos parlamentarios como Soria ¡YA! por conocer el alcance de lo sucedido, se reconoce ahora como un “incidente de seguridad”. La versión oficial admite que el ataque dio acceso a datos sensibles como DNI, fecha de nacimiento, nacionalidad, dirección, teléfono o correo electrónico de la comunidad educativa de toda la región.

Según detalla la propia Consejería en una nota publicada en el portal de educación de la Junta, el acceso no autorizado se detectó inicialmente el 31 de mayo y fue confirmado dos días después, el 2 de junio. La notificación a la Agencia Española de Protección de Datos y la correspondiente denuncia ante la Guardia Civil se formalizaron el 3 de junio, aunque no ha habido, hasta ahora, ningún tipo de comparecencia pública ni comunicado de prensa para explicar con claridad los hechos o proponer soluciones.

Durante este tiempo, la consejera de Educación mantuvo ante los medios y en sede parlamentaria que solo se había producido "algún intento de acceso no autorizado", sin que hubiera afectación real. En respuesta a las preguntas formuladas en las Cortes autonómicas, Rocío Lucas acusó incluso de “alarmismo” a quienes advertían sobre el alcance del ataque y restó importancia al episodio asegurando que “hasta la NASA ha sufrido hackeos”.

Solo ahora se confirma oficialmente que se trató de un ciberataque consumado, con sustracción de información y potencial uso fraudulento de los datos. En el comunicado, la Junta admite que la información robada podría ser utilizada para intentos de suplantación de identidad, mediante correos electrónicos, llamadas no deseadas o acciones comerciales intrusivas.

En su nota la Junta asegura que el 3 de junio se ha notificado la incidencia a la Agencia Española de Protección de Datos el ciberataque y se ha interpuesto la correspondiente denuncia ante la Comandancia de la Guardia Civil de Valladolid. A pesar de la gravedad del suceso, la Consejería no ha articulado ningún mecanismo específico para proteger a los usuarios cuyos datos han quedado expuestos. Tan solo se remite a los canales habituales de denuncia o información como el Instituto Nacional de Ciberseguridad (INCIBE), la Guardia Civil o la Policía Nacional, y se limita a enumerar medidas técnicas internas que se habrían aplicado tras el ataque, como el refuerzo de las aplicaciones y la incorporación de nuevos filtros de seguridad.

El alcance del ciberataque afecta a toda la comunidad educativa de Castilla y León, abarcando desde el alumnado hasta sus progenitores y docentes, en un contexto donde la protección de datos personales es un derecho especialmente sensible. La falta de transparencia inicial y la gestión posterior del incidente han despertado críticas por la falta de diligencia institucional, así como por la escasa atención brindada a los usuarios potencialmente perjudicados. Desde Soria ¡YA! han calificado de “lamentable” que la consejera Rocío Lucas “mintiera en el Pleno de las Cortes ante un tema tan delicado como el robo de datos que afectan a miles de familias y docentes”. Además, han denunciado que esta es “la transparencia de la Junta de Alfonso Fernández Mañueco” y han reclamado que “urgen muchas explicaciones”.