El grupo de hackers La Nueve se ha introducido dentro de los servidores de la escuela de negocios IESE. El equipo ha tenido acceso a cientos de documentos que registraban miles de datos personales incluyendo contraseñas de acceso de sus alumnos.
Según comentan en una publicación al sistema de la IESE trabajaba con servidores bajo el sistema operativo que ya no ofrece ningún tipo de soporte (Windows XP) y una versión no actualizada de ASPNET. En total, el grupo ha accedido a más de 41 millones de correos electrónicos alojados dentro de los servidores. El ataque ha permitido no sólo acceder a los datos personales de cientos de miles de usuarios, sino que además ha permitido acceder a diferentes casos de negocio y documentos de alto valor alojados dentro de la web de IESE.
Los miembros de La Nueve confirman que estas vulnerabilidades son bastante más graves de lo que en un principio se esperaba. Después del ataque los errores persistieron durante un largo tiempo, a pesar de que los técnicos de la IESE trataban de encontrar la fuente del error sin éxito.
La Escuela por su parte hizo público el problema: “Lamentamos profundamente este hecho, y estamos poniendo todos los medios para resolver el incidente en la mayor brevedad posible […] Estamos trabajando con expertos en ciberseguridad y estamos informando a todos nuestros antiguos alumnos y a los clientes de IESE Publishing”.
Además de los problemas que se han ocasionado a todos los usuarios, esta intrusión podría tener graves consecuencias para la empresa que ha dejado al descubierto vulnerabilidades consideradas como faltas graves o muy graves en el Real Decreto-ley 12/2018 de seguridad de las redes y sistemas de información. La AEPD podría actuar directamente sobre este tipo de fallos y podría sancionar al IESE. Y es que todas las empresas que gestionen y traten datos que revelen el origen ético, la ideología política, religiosa o aquellos datos relativos a la salud o a la vida sexual están obligadas a nombrar a un delegado de protección de datos (DPO).