Conecta con nosotros

Noticias

La Nueve hackea la web del IESE y accede a gran cantidad de datos personales

Publicado el

La Nueve hackea la web del IESE y accede a gran cantidad de datos personales

El grupo de hackers La Nueve, que está vinculado a Anonymous, ha conseguido hackear varios de los servidores web de la escuela de negocios IESE, y ha accedido a varios miles de datos personales de que los que esta escuela guarda en ellos. Para ello, tal como han explicado en su cuenta de Twitter, estos hackers han utilizado una vulnerabilidad en una de sus bases de datos.

Además de acceder a dicha información y hacer público cómo han accedido, según El Confidencial, los miembros de La Nueve publicaron un enlace a dicha web, que ya ha desaparecido de la página de la escuela. A través de él se podía acceder a información de un servidor con una nutrida documentación con datos de clientes, particulares y empresas, de IESE. Entre ellos nombres y apellidos, direcciones de email, nombres de usuario y contraseñas de acceso.

Al entrar en el servidor, el sistema no solicitaba ni nombre de usuario ni contraseña, por lo que la protección para acceder a los datos que guardaba era completamente inexistente. Por tanto se trata de un problema de seguridad importante, ya que el fallo permitiría utilizar, entre otras cosas cuentas ajenas para adquirir casos de negocio en el área de la web denominada IESE Publishing. Para comprobar que esto puede hacerse, la Nueve probó la compra de informes con los datos de usuarios ajenos a los servidores web.

A través de los mensajes en los que el grupo ha detallado cómo ha llevado a cabo el hackeo, se ha dado a conocer que estos tienen Windows XP como sistema operativo, al que Microsoft ha dejado ya de dar soporte. Además, utiliza una versión antigua de ASPNET, una herramienta de gestión de servidores web. Se da la casualidad de que Microsoft ha dejado ya de dar soporte a este sistema operativo. En total, tienen almacenados cerca de 42 millones de mensajes de correo electrónico y algo más de 300.000 datos personales.

Esto puede llevar a que el IESE sea investigado y sancionado por la Agencia Española de Protección de datos (AEPD) en caso de que no consiguiese justificar debidamente por qué utilizaba software antiguo y desfasado en varios servidores web en los que se almacenaba información sensible. Por el momento, tiene 72 horas para comunicar el incidente y justificar lo sucedido. Se desconoce si la AEPD comenzará una investigación de oficio o, en caso de que se interpusiese alguna denuncia de los afectados, movido por ella. Mientras, el IESE está analizando lo que ha pasado y, por ahora, guarda silencio.

Redactora de tecnología con más de 15 años de experiencia, salté del papel a la Red y ya no me muevo de ella. Inquieta y curiosa por naturaleza, siempre estoy al día de lo que pasa en el sector.

Lo más leído