Durante semanas, el gobierno de Castilla y León ha negado que se hubiese producido un ciberataque, con robo de datos incluido, en los sistemas informáticos que gestionan la información de su comunidad educativa.
Sin embargo, tras la presión de diferentes sectores y la evidencia de los hechos, la Junta ha reconocido finalmente lo que muchos ya daban por hecho: un robo masivo de datos que afecta a estudiantes, familias y personal docente.
El incidente ha comprometido información sensible de más de un millón de personas. Aunque desde la Consejería de Educación inicialmente se rechazó cualquier vulneración de los sistemas, ahora se admite que el acceso no autorizado tuvo lugar a finales del pasado mes de mayo.
Cambio radical de versión oficial del robo de datos en Castilla y León
Lo que durante semanas fue tildado de “rumor” o “intento fallido”, ha terminado siendo calificado como un incidente grave que pone en riesgo la seguridad de numerosos ciudadanos.
La Consejería de Educación ha confirmado que el 31 de mayo tuvo lugar un ciberataque que permitió a personas no identificadas acceder a la base de datos que almacena los registros del alumnado, sus tutores legales y el profesorado de Castilla y León.
Según la propia Junta, este robo masivo de datos ha expuesto elementos clave de la identidad de los afectados: números de DNI, direcciones, nacionalidades, teléfonos personales y correos electrónicos. Elementos todos ellos que pueden utilizarse para suplantaciones de identidad, fraudes o incluso campañas de comunicación no deseada.
En un primer momento, la Junta ha evitado comparecencias públicas o comunicados de prensa, limitándose a reconocer el hecho a través de una publicación en su portal Educacyl. En dicho anuncio, se minimizó el suceso refiriéndose a él como un simple “incidente de seguridad”.
Esta comunicación, que ha llegado casi un mes después de los hechos, no se corresponde con la gravedad del robo masivo de datos, especialmente si se tiene en cuenta que fue la propia consejera de Educación, Rocío Lucas, quien negó su existencia ante los medios y en sede parlamentaria. Alegó entonces que no había indicios de intrusión, que todo funcionaba con “normalidad” y que no se debía generar “alarma innecesaria”.
Robo de datos en Castilla y León
La cronología oficial ahora señala que el ataque se detectó de forma preliminar el 31 de mayo y fue confirmado el 2 de junio. Ese mismo día se comenzó a actuar, según la Consejería, en coordinación con la empresa desarrolladora del sistema, la Agencia Española de Protección de Datos y la Guardia Civil, que recibió la denuncia el 3 de junio.
Pese a que se han implementado medidas para reforzar la seguridad de las plataformas digitales afectadas, el hecho de que se haya producido un robo masivo de datos personales sin una comunicación clara, directa y temprana ha generado críticas de todo tipo.
Entre las medidas tomadas se encuentran el refuerzo de aplicaciones de gestión, nuevos filtros de seguridad y sistemas de monitorización continua para evitar futuras intrusiones.
A pesar del alcance del robo masivo de datos, la Junta de Castilla y León no ha ofrecido un plan concreto de ayuda o reparación para los afectados. Más allá de unas recomendaciones genéricas, no se han propuesto medidas de apoyo directo ni acciones preventivas específicas para las personas cuya información ya podría estar en manos de terceros.
Desde la administración simplemente se señala que, en caso de sospechas de actividad fraudulenta, los usuarios pueden acudir al Instituto Nacional de Ciberseguridad (INCIBE), a la Guardia Civil o a la Policía Nacional.
Un precedente preocupante para la confianza digital
El robo masivo de datos no es solo una cuestión técnica o de seguridad informática. Qué duda cabe que tiene implicaciones sociales, legales y personales. La información filtrada puede utilizarse durante años, afectando a quienes la Junta debía proteger.
Que no se haya informado adecuadamente a las familias, ni se les haya ofrecido apoyo directo, evidencia una gestión cuestionable de una situación de enorme gravedad.
