Cuenta bancaria, clave y DNI: una escuela de negocios española expuso datos de alumnos
Bastaba con cambiar al azar un código numérico para acceder al perfil de otros alumnos y a datos como el nombre completo, DNI, contraseña, teléfono móvil y número de cuenta bancaria
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fdc0%2Fb7b%2F9d4%2Fdc0b7b9d4550d69b05855ed7b15b1bfd.jpg)
Crisis de ciberseguridad en la EAE Business School. La escuela de negocios española, cuyos másteres oscilan entre los 12.750 y los 27.500 euros y ha sido elegida segunda escuela de negocios más reputada de España por el Ranking Merco 2018, ha estado exhibiendo durante al menos tres meses diversos datos personales de sus alumnos, entre los que se encontraban, según ha podido confirmar Teknautas, el nombre completo, la contraseña de acceso a la web, el DNI, la dirección o la cuenta bancaria, entre muchos otros.
Estos datos estaban almacenados de tal manera que, cambiando al azar el número de acceso en la url de la web, los alumnos podían acceder al perfil de usuario de cualquier otro compañero. La escuela ha solucionado el fallo durante este mes de octubre, tres meses después de que JRC, un programador español, les avisase del problema e intentase, sin éxito, a corto ni medio plazo, que se solucionase.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fa05%2Fce8%2F1d4%2Fa05ce81d49631f582b862b149a8bdb94.jpg)
Así se exhibían los datos de alumnos
La vulnerabilidad en la web de la EAE es similar a lo que en su momento pasó en Lexnet o en Movistar: un mero cambio de números en la ID de la url permitía acceder al perfil de otros usuarios. Imaginemos que, tras meter su nombre de usuario y contraseña en la web, un alumno de dicha escuela accede a su perfil privado y la url es eae.es/campus/perfil/ID=9894853. Pues bien, si el alumno cambiaba el número final, insertaba otro al azar, por ejemplo eae.es/campus/perfil/ID=7648921, y coincidía con el otro alumno, automáticamente entraría a ver su perfil.
Tal y como se demuestra en el siguiente vídeo, un cambio en dicha combinación llevaba hacia el perfil de otros usuarios. Pese a que la información confidencial ha sido difuminada, la pantalla mostraba el nombre completo del alumno, su contraseña para acceder al campus, su DNI, su móvil, su número de cuenta bancaria, su correo electrónico y su dirección, entre otros datos de índole personal.
Además, también se puede ver que la escuela de negocios no guarda las contraseñas de sus usuarios de manera encriptada, sino en texto plano, un hecho que la hace mucho más vulnerable en caso de producirse un ciberataque.
Así pues, los cerca de 50.000 alumnos que la escuela tiene anualmente, según sus propias cifras, han visto comprometidos sus datos personales durante, al menos, los tres últimos meses.
Lo sabían desde julio
La revelación de este problema llega gracias a JRC, un programador que en su momento descubrió dicha negligencia y el 19 de julio avisó, sin éxito, a la escuela de negocios mediante correo electrónico. La solución ha llegado casi tres meses después, en la primera mitad de este mes de octubre.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fd00%2F08e%2Ff3f%2Fd0008ef3f68467756eda7f1c6678c5ab.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fd00%2F08e%2Ff3f%2Fd0008ef3f68467756eda7f1c6678c5ab.jpg)
Ante el escaso éxito, JRC también avisó al Grupo de Delitos Telemáticos de la Guardia Civil, pero no obtuvo respuesta. Finalmente, consiguió que la escuela se pusiera manos a la obra cuando, a través de Eneko Knnörr, un conocido emprendedor e inversor tecnológico español, le trasladó la existencia de la vulnerabilidad a un directivo de la EAE.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F41e%2F611%2F016%2F41e611016070d60471ddc5c9243b0fd0.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F41e%2F611%2F016%2F41e611016070d60471ddc5c9243b0fd0.jpg)
72 horas para notificar el incidente
La vulnerabilidad de la EAE Business School podría entrar en conflicto con el nuevo Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) que entró en vigor definitivamente el pasado 25 de mayo en la Unión Europea. Según el artículo 33 de la normativa, "en caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad (...) a más tardar 72 horas después de que haya tenido constancia de ella". El abogado Samuel Parra matiza que "hay que notificar las brechas de seguridad que constituyan un riesgo para los derechos y libertades de las personas físicas afectadas, y en este caso se ha producido ese riesgo, por lo que la entidad debería haberlo notificado".
Según JRC, sin embargo, la EAE "lo arregló, como muy pronto, el 5 de octubre", con lo que ya habría pasado el plazo de notificación a las autoridades europeas. Además, "el RGPD también impone la obligación de notificar esta brecha a los propios afectados y en este caso no hay un plazo concreto para hacerlo, pero el RGPD dice que debe hacerse "sin dilación indebida" para que el afectado pueda adoptar las medidas que considere oportunas para mitigar los posibles efectos de la brecha de seguridad", asegura Parra.
La vulnerabilidad, según fuentes legales, podría incumplir el RGPD europeo y la Ley Orgánica de Protección de Datos española
El posible incumplimiento del GDPR, en caso de que se haya dado en esta situación, tiene previstos cuatro escalones sancionadores: la advertencia, la amonestación, la suspensión del tratamiento de datos y la multa económica. En caso de multa, las hay de dos niveles: el primero, que obliga a un pago de 10 millones de euros o el 2% de los ingresos anuales (la cifra que sea más alta), y el segundo, que establece un pago de 20 millones o el 4% de los ingresos anuales (también la cifra más alta).
Por otro lado, la Ley Orgánica de Protección de Datos (LOPD) española obliga a las empresas que gestionen contraseñas de usuarios a almacenarlas "de forma ininteligible". Como vimos en el vídeo anterior, la EAE no las tiene encriptadas, sino en texto plano, un hecho que suele desembocar en multa económica, como le pasó, por ejemplo, a interflora en 2009.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fc65%2F939%2F355%2Fc65939355d5289a2025e5c054c8f2719.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fc65%2F939%2F355%2Fc65939355d5289a2025e5c054c8f2719.jpg)
Este diario se ha puesto en contacto con la EAE Business School. La escuela está analizando lo ocurrido y asegura que pronto dará explicaciones sobre el fallo. La EAE Business School es una de las escuelas de negocio más conocidas en España. En su web, la entidad presume de haber formado a más de 73.000 directivos en 58 años, de ser la primera escuela de negocios en impartir másteres oficiales universitarios, de tener acuerdos con 65 universidades y 35.000 empresas y de tener cada año cerca de 50.000 alumnos, que, en el caso de optar por un máster, pagan entre 12.750 y 27.500 euros.
Por lo pronto, la escuela de negocios se enfrenta ahora a un hecho menos positivo: haber almacenado y expuesto un sinfín de datos personales y monetarios de sus alumnos de manera insegura y mantener la vulnerabilidad durante, al mínimo, tres meses después de que se la notificasen.
Crisis de ciberseguridad en la EAE Business School. La escuela de negocios española, cuyos másteres oscilan entre los 12.750 y los 27.500 euros y ha sido elegida segunda escuela de negocios más reputada de España por el Ranking Merco 2018, ha estado exhibiendo durante al menos tres meses diversos datos personales de sus alumnos, entre los que se encontraban, según ha podido confirmar Teknautas, el nombre completo, la contraseña de acceso a la web, el DNI, la dirección o la cuenta bancaria, entre muchos otros.