Los datos personales de 3,6M de alumnos y padres de Madrid, expuestos en la red

Los 1,2 millones de alumnos de toda la Comunidad de Madrid y sus respectivos padres o tutores legales (en total, 3,6 millones de personas) tienen un problema: sus datos personales han estado expuestos en internet al alcance de cualquiera debido a una brecha de datos. Así lo aseguran fuentes conocedoras de dicha brecha a este diario, que ha podido comprobar la existencia de varios documentos correspondientes a la matrícula de alumnos de 3 a 18 años que contienen tanto su información como la de los tutores que firman la matrícula.

La brecha de datos fue descubierta entre finales de mayo y principios de junio de este año. Fue precisamente un padre el que, cuando accedió a la matrícula de su hijo en la web de la Consejería de Educación de la Comunidad de Madrid, observó que también podía acceder a las matrículas y datos personales de otros alumnos. Este diario ha comprobado que, efectivamente, los expedientes son reales y corresponden a los alumnos y padres, cuyos datos aparecen visibles.

TE PUEDE INTERESAR

Chapuza de Xiaomi: sus móviles en tiendas de Madrid exponen datos de ventas y clientes

C. Otto Guillermo Cid

DNI, domicilio, móvil, renta mínima...

El fallo informático era tan sencillo como crítico. Cuando unos padres acceden a la web de la secretaría virtual de los centros docentes de Madrid, para consultar la matrícula de sus hijos deben introducir un usuario y una contraseña y, a continuación, acceden a la documentación en una web cuya url tiene la siguiente forma: https://raices.madrid.org/secretariavirtual/descarga/solicitud/28563/ (Número inventado).

Lo que descubrió este padre es que, si cambiaba aleatoriamente el número del final de la url, podía acceder a las matrículas de otros alumnos. Cada una de ellas estaba registrada en un documento PDF en el que aparecían los siguientes datos personales:

• Alumnos: Nombre y apellidos completos, DNI (si tienen), NIA (número de identificación de alumno), sexo, ciudad, municipio, dirección completa del domicilio, fecha de nacimiento, centro escolar, curso en el que se matricula y existencia o no de hermanos.
• Padres o tutores legales: Nombre y apellidos completos, DNI, correo electrónico, teléfono móvil, información económico (por ejemplo, si reciben la Renta Mínima Vital), sexo, ciudad, municipio, dirección completa del domicilio y fecha de nacimiento.

Los afectados fueron los más de 1,2 millones de alumnos de la Comunidad de Madrid de Educación Infantil (3 años) hasta Bachillerato (18 años), así como sus padres o tutores legales. La cifra de personas que han visto sus datos personales expuestos, por tanto, podría ser de hasta 3,6 millones de afectados en toda la región. Este diario ha podido corroborar la posibilidad de acceder a dichos documentos, que presentan la siguiente estructura (los datos personales han sido pixelados):

Educación: "No se expuso datos personales"

Este diario ha contactado con la Consejería de Educación para evaluar su conocimiento sobre dicha brecha, el tiempo que estuvo habilitada, cómo se solucionó y, sobre todo, si se notificó a los afectados. La Consejería admite un incidente, pero poco más: "El 20 de mayo por la mañana se detectó un fallo informático y se cerró el servicio de secretaría virtual de forma inmediata. A primera hora de la tarde se solucionó el fallo y el servicio de la secretaría virtual de Educación quedó restablecido. Madrid Digital avisó a la Consejería de Educación en cuanto conoció el problema".

Además, la Consejería asegura que "Madrid Digital no tiene constancia de brecha de seguridad en relación a exposición de datos personales de los alumnos".

La Consejería admite un "fallo informático", pero niega que se haya expuesto datos personales de alumnos y padres

La versión de las fuentes cercanas al padre que descubrió la brecha, eso sí, es bien distinta. El incidente, aseguran, fue reportado a la Consejería de Educación de la Comunidad de Madrid a través de la Asociación de Madres y Padres de Alumnos (AMPA) del centro escolar. Acto seguido, la secretaría virtual de los centros docentes 'apagó' su web, mostrando un mensaje mediante el que indicaba estar en obras.

Además, aseguran, desde la Consejería de Educación se dio las gracias a los informantes y se les instó a que, si descubrían nuevas brechas de datos o vulnerabilidades de seguridad informática, avisasen inmediatamente al organismo. Tras esta comunicación no hubo más conversaciones y, según las fuentes consultadas, ni los centros escolares ni la comunidad educativa de la Comunidad de Madrid fueron informados de la brecha de datos existente.

"No informaron a la AEPD"

El incidente, según las fuentes consultadas, "se ocultó a la Agencia Española de Protección de Datos (AEPD)", cuando en realidad se tendría que haber comunicado tras el conocimiento de la brecha. En este sentido, el artículo 33 del Reglamento General de Protección de Datos (RGPD) establece que "en caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente (...) 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas". Si dicha notificación no se produce en 72 horas, "deberá ir acompañada de indicación de los motivos de la dilación".

Además, el artículo 32 del RGPD recuerda que, en cualquier entidad que gestione datos personales de terceros, "el responsable y el encargado del tratamiento [de esos datos] aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo". La Ley Orgánica de Protección de Datos (LOPD), por otro lado, también habilita la posibilidad de imponer sanciones económicas a quien no haga una buena custodia de los datos que maneja.

Este diario ha contactado con el organismo para saber si la Consejería de Educación reportó el incidente: la AEPD asegura no tener conocimiento de ninguna brecha similar. Educación afirma que, efectivamente, "no se ha realizado ninguna notificación a la Agencia Española de Protección de Datos", pero argumenta que no se ha hecho porque no tiene conocimiento de que ningún dato de padres o alumnos haya quedado expuesto.

"Estoy indignado, pienso denunciar"

Este diario ha podido hablar con dos padres cuya información personal y de sus hijos aparece visible en los expedientes de matrículas que quedaron expuestos. "Estoy flipando"; nos reconoce uno de Parla. "Mi hijo tiene cinco años y en esos documentos aparece su nombre completo, la dirección de nuestra casa y el colegio al que va. No quiero ni imaginarme lo que puede hacer cualquiera con esa información... Acabo de llamar al colegio de mi hijo para quejarme y pienso denunciar este asunto. Es indignante que haya pasado esto y que, encima, no nos digan nada".

"Mi hijo tiene cinco años y ahí sale su nombre, su casa, el colegio y el curso. No quiero ni imaginarme lo que se puede hacer con esos datos"

Otro de los padres, que además es informático, añade posibles usos de estos datos: "Imagínate que alguien coge todas esas informaciones y se dedica a llamar a los padres o a mandarles un email haciéndose pasar por alguien del colegio. Los padres se fiarían, porque puede darles sus datos personales, su DNI, la dirección de su casa, el colegio, el curso... Lo tienen todo y podrían hacer una suplantación de personalidad".

El mismo fallo que Lexnet, Movistar, EAE...

La brecha de datos a la que se ha expuesto la Consejería de Educación de Madrid es crítica, pero también bastante frecuente. De hecho no es ni mucho menos la primera institución a la que le pasa algo similar. El mayor ejemplo de este mismo fallo ocurrió en Lexnet, el sistema telemático del Ministerio de Justicia para intercambiar información de casos entre juzgados, abogados, procuradores y otros colectivos, que sufrió una brecha idéntica y de manera continuada.

También les pasó lo mismo en 2018 a la escuela de negocios EAE Business School y poco antes a Movistar: un mero cambio en los números de una url permitía acceder a información personal y privada de terceras personas. Veremos si en este caso hay consecuencias.