El pasado viernes, Conselleria d'Educació i Universitats denunciaba una violación de seguridad de los datos personales de algunos usuarios de la plataforma para la Gestión Educativa de Baleares (GestIB) ante la Policía Nacional. Catalina Ginart, directora general de Planificación y Gestión Educativas, ha alertado de esta sustracción de información a través de un comunicado dirigido a los afectados. «Algunos de sus datos o los del menor/ de los menores que tiene a su cargo que figuran en la base de datos del GestIB pueden formar parte de un listado de datos obtenido de manera ilícita», informa el escrito.
El incidente de seguridad, según detalla el comunicado, tuvo lugar el pasado 17 de julio en el programa de GestIB. La brecha en la aplicación tuvo «como consecuencia el acceso no autorizado a datos personales de usuarios». Además, aclara que el ingreso al sistema se produjo «por parte de terceras personas no autorizadas, que presuntamente, suplantaron la identidad de algunos usuarios, utilizando sus usuarios y contraseñas, y comprometiéndose la confidencialidad de los datos personales de los afectados». Entre los datos a los que se ha tenido acceso figuran el código de persona, nombre y apellidos, sexo, documento nacional de identidad, fecha y país de nacimiento, nacionalidad, teléfonos, email, dirección postal y número de la tarjeta sanitaria.
Otra información extraída de la plataforma de GestIB es el curso y grupo en el que está matriculado el menor el próximo año escolar 2024-2025 y los códigos de persona con los que tiene relaciones de tutoría o parentesco. Sin embargo, el nombre del centro no ha sido identificado. Seguidamente, el comunicado alerta de las posibles consecuencias a las que pueden enfrentarse los perjudicados. Entre ellas, se pueden dar casos de suplantación de identidad, fraude, pérdida de privacidad, daños en la reputación y limitación de sus derechos.
Además, el comunicado informa de las medidas de seguridad implantada para controlar los daños, como la recopilación de información de los accesos fraudulentos para investigar cómo se autentificaron los usuarios, la mejora del control de acceso a GestIB o la restricción al acceso de la plataforma en el Estado Español. A partir de ahora, contarán con más opciones para la autenticación de los usuarios, incluyendo un doble factor de verificación. También, han propuesto sustituir el uso de identificadores secuenciales en las tablas antiguas del GestIB.
Desde este momento, se bloqueará automáticamente el acceso a usuarios que realicen múltiples peticiones de ingreso en un intervalo de tiempo limitado. Se realizará un registro de la dirección IP habitual del usuario, para poder avisar en caso de inicio de sesión desde una IP no usada con anterioridad. De igual manera, se avisará, de manera automática, por email y SMS a los técnicos en caso de detectar un aumento fuera de lo normal de sesiones activas. Paralelamente, el comunicado recomienda a los usuarios cambiar la contraseña regularmente y ejecutar el antivirus.