El alumno que presuntamente usurpó la identidad de un profesor para acceder al portal web Educacyl, que aloja miles de datos de familias y profesores, pudo tener acceso al sistema de "ausencias", según ha detallado este viernes el Instituto Nacional de Ciberseguridad (Incibe) en una comunicación, y recoge EFE. 

Los Cuerpos y Fuerzas de Seguridad del Estado investigan este acceso no autorizado y el posible alcance, para saber a qué datos pudo tener acceso y si estos están en riesgo, según explicó el día anterior el portavoz de la Junta de Castilla y León, Carlos Fernández Carriedo.

Por su parte, la Consejería de Educación de Castilla y León ha trasladado, en un comunicado publicado este viernes en el portal Educacyl, que el pasado 31 de mayo de 2025 detectó un incidente de seguridad en el sistema de gestión de ausencias del alumnado, que compromete los datos personales que pudieran estar en dicha base de datos.

Como indica la Consejería, el hecho fue confirmado el 2 de junio e "inmediatamente se fortalecieron los controles de seguridad, se notificó a la Agencia Española de Protección de Datos (AEPD) el 3 de junio y se presentó denuncia ante la Guardia Civil".

No obstante, preguntada por este incidente, ese 2 de junio, cuando la Consejería ya había confirmado el incidente, la consejera de Educación, Rocío Lucas, dijo: "Cuando aparece algo así, evidentemente tienes que analizar y ver si hay algo de cierto; y lo que hicimos fue ponernos en contacto con la Consejería de Movilidad para ver cómo estaban, si había alguna situación rara, y nos han transmitido que todo funciona con plena normalidad".

Y una semana después, en sesión plenaria, la titular de Educación reconoció un "intento de acceso no autorizado" a su portal de educación, cuando ya tenían confirmado ese acceso según lo trasladado al Incibe.

Datos expuestos

Como explica la Consejería en su comunicación, los datos que han quedado expuestos en este acceso no autorizado son: nombre, apellidos, DNI/NIE, fecha de nacimiento, nacionalidad, dirección, teléfono y correo electrónico de los usuarios de esta plataforma, es decir, de familias, alumnos y docentes.

Asimismo, relata EFE, para controlar los posibles daños, Educación ha indicado que se han implementado una serie de medidas técnicas para responder al incidente: refuerzo de los sistemas o aplicaciones afectadas, implementación de nuevos filtros en la red corporativa y alertas de monitorización.

Los ciberdelincuentes podrían emplear la información que han obtenido para diferentes tipos de estafas, como pueden ser suplantación de identidad, realizar envíos masivos de correos no deseados o llamadas fraudulentas, ha alertado por su parte el Incibe.