Actualización de información sobre el incidente de INTECO

Respecto al incidente registrado la semana pasada en INTECO, los usuarios suscriptos al servicio de formación han recibido hoy la siguiente notificación: (textual)

Estimado/a usuario/a:

Desde el Instituto Nacional de Tecnología de la Comunicación (INTECO)
nos ponemos nuevamente en contacto con Vd. para continuar informándole
sobre la apropiación de datos de la plataforma de tele-formación del
Instituto, en la que Vd. está inscrito.

Una vez más queremos insistir en que lamentamos los hechos sucedidos.
Desde INTECO nos ponemos a su disposición para ayudarle en cualquier
duda que le pueda surgir, así como para informarle en la defensa sus
intereses, dañados por este ataque, al igual que lo han sido los
nuestros. Por ello, le rogamos que cualquier duda que pueda tener o
comentario que desee transmitirnos, lo haga llegar a la dirección
[email protected] desde la que le daremos una respuesta
personalizada.

Queremos indicarle que, desde el momento en que conocimos la publicación
de los datos en Internet, hemos sido los principales interesados en
evitar en lo posible su difusión y en esclarecer los hechos. Por ello,
partió de nosotros presentar denuncia ante la Policía para su
investigación por la Brigada de Investigación Tecnológica de la Policía,
así como poner el hecho en conocimiento de la Agencia Española de
Protección de Datos quienes recibieron nuestra notificación el propio
lunes, día 6 y de los propios afectados. El mismo día también comenzamos
un análisis forense con el fin de detectar el origen del ataque y las
causas que han determinado la difusión de estos datos y solicitamos la
colaboración de otros CERTs para la supresión de los contenidos
ilícitamente sustraídos de distintas webs.

Queremos que tenga claro que el ataque únicamente ha afectado a nuestra
plataforma de formación en línea, lo que representa una pequeña parte de
nuestros servicios. En ningún caso se han visto comprometidos el resto
de servicios de INTECO.

Asimismo, es importante que sepa que los datos personales contenidos en
la plataforma son de “nivel básico”, según la terminología de la Ley
Orgánica de Protección de Datos de carácter personal (LOPD), y que los
atacantes solo han efectuado una descarga parcial de estos datos, entre
los cuales no hay ninguno de carácter económico (números de cuentas
corrientes, tarjetas de crédito, etc.), ya que, como Vd. recordará, no
se solicitan en el registro en la plataforma. Tampoco se han sustraído
las cuentas de correo electrónico, contraseñas de la plataforma ni el
número de identificación personal (DNI, pasaporte, etc.).

Los datos sustraídos, según hemos podido confirmar con la investigación
que estamos llevando a cabo, son los siguientes:
* nombre y apellidos
* teléfono
* dirección postal
* sexo y fecha de nacimiento

Todo esto, en el supuesto de que Vd. los hubiera proporcionado, ya que
sólo era obligatorio introducir: nombre, apellidos y correo electrónico
(este último dato no ha sido sustraído). (*)

Para poder analizar las causas y la repercusión del incidente, desde
INTECO consideramos que es necesario esperar a la conclusión del
análisis forense, actualmente en curso, y al resultado de las
averiguaciones policiales y judiciales con el objetivo de no comprometer
la investigación.

Una vez concluyan estas investigaciones y a la vista de sus hallazgos,
reiniciaremos la prestación del servicio con toda normalidad. Además, le
avanzamos que está previsto que se realice en una nueva plataforma de
formación, cuyo desarrollo está a punto de finalizar, reforzando incluso
más todas las garantías de seguridad dispuestas.

Desde INTECO le pedimos que este incidente, que por desgracia puede
ocurrir en todo tipo de organizaciones, no empañe la confianza que Vd.
tenía depositada en nosotros.

Disculpe de nuevo las molestias ocasionadas por este incidente. Muchas
gracias por su comprensión.

Reciba un saludo.

(*) Le informamos que, si lo desea, puede ejercer los derechos ARCO contemplados en la legislación de protección de datos, en la forma especificada en el aviso legal de INTECO, con los requisitos de identificación previstos en el Reglamento de desarrollo de la LOPD.

Fuente: INTECO-CERT

Suscríbete a nuestro Boletín