La Universidad Carlos III de Madrid ha informado de que sufrió un ataque malicioso de phishing que permitió el acceso ilegítimo a algunas cuentas de correo electrónico y comprometió datos personales de usuarios de la institución. La universidad sostiene que ha puesto en marcha sus protocolos de seguridad y que la investigación sigue abierta para conocer con exactitud el alcance de lo ocurrido.
La UC3M ha confirmado un acceso no autorizado a varias cuentas de correo de su comunidad universitaria después de un ataque detectado el 12 de marzo. La institución ya ha comunicado el incidente a la Agencia Española de Protección de Datos y al Centro Criptológico Nacional, mientras avisa a alumnos y trabajadores del riesgo de nuevos intentos de suplantación.
Qué datos se han visto comprometidos tras el ataque de phishing a la Universidad Carlos III
Según la comunicación remitida a trabajadores y alumnos, el incidente se produjo el pasado 12 de marzo y permitió un acceso no autorizado a determinadas cuentas de correo electrónico. La investigación inicial apunta a que el atacante habría podido acceder e incluso extraer información como cuentas de correo o nombres de usuario, por lo que la universidad admite una afectación sobre la confidencialidad de ciertos datos personales.
La UC3M ha trasladado que la protección de la privacidad y de los datos personales es una prioridad y ha pedido prudencia a toda su comunidad. El aviso llega en un momento especialmente sensible, ya que este tipo de ataques suele derivar después en nuevos correos fraudulentos, mensajes de spam o intentos de hacerse pasar por la persona afectada.
Qué medidas ha activado la UC3M tras detectar el acceso no autorizado a correos
Entre las actuaciones adoptadas figuran el bloqueo inmediato de los accesos comprometidos, la revisión de registros, la vigilancia reforzada de los sistemas y la comunicación directa a los afectados. Además, la universidad ha notificado el incidente a las autoridades competentes, entre ellas la Agencia Española de Protección de Datos y el Centro Criptológico Nacional.
La reacción encaja con lo que marca la normativa de protección de datos. La AEPD recuerda que, cuando una brecha puede suponer un riesgo para los derechos y libertades de las personas, debe notificarse a la autoridad de control y, si el riesgo es alto, también a los afectados. El plazo general para comunicarla a la autoridad es de 72 horas desde que la organización tiene constancia de la brecha.
La Universidad Carlos III ha pedido disculpas por las molestias y ha reiterado su compromiso con la seguridad y con el cumplimiento de la normativa de protección de datos. Accede a nuestra sección de formación para conocer otras noticias destacadas que afecten a las universidades madrileñas.
