Un ciberataque a dos servidores en desuso de Lanbide deja expuestos datos de 140.000 vascos

El ciberataque pudo afectar a datos identificativos y de o -tales como el nombre, apellidos, DNI y número de teléfono- de personas participantes en encuestas y también de candidatas a ofertas de trabajo durante el periodo comprendido entre 2017 y 2021. Lanbide explica que con la asistencia de Cybertzaintza (Agencia Vasca de Ciberseguridad) trabajó de inmediato con la empresa proveedora para aislar el incidente y lo puso en conocimiento de la Agencia de Protección de Datos así como de las personas afectadas.

Puntualiza que hasta el momento no hay constancia de que se haya hecho un uso fraudulento de esos datos, aunque alerta de que «podrían utilizarse para suplantar la identidad y obtener más información de las personas afectadas, o ser publicados con fines comerciales». Apunta que en caso de que esta situación cambie, informará de inmediato y tomará las medidas apropiadas en colaboración con Cyber-tzaintza para mitigar los posibles efectos de dicha publicación.

El ataque se produjo con el ransomware Blackcat, que encriptó los datos almacenados en dichos servidores. Destaca que el incidente no podría darse en la actualidad porque desde 2021 las empresas proveedoras de Lanbide se conectan directamente a los sistemas del organismo. De esta forma, indica que todos los datos personales que se registran en el servicio público se gestionan exclusivamente desde la plataforma corporativa del Gobierno Vasco y no mediante proveedores externos. Este ataque se suma a los de otros muchos que se llevaron a cabo el año pasado a todo tipo de empresas, entidades y organismos, algunos tan conocidos como Euskaltel, la Real Sociedad, la Universidad de Deusto o Iberdrola, en su mayoría saldados sin grandes daños.

Lanbide realiza una serie de recomendaciones para evitar posibles fraudes, como «comprobar si los datos personales han sido publicados en la red mediante egosurfing o comprobar siempre la autenticidad de cualquier solicitud por SMS, teléfono o email de tus credenciales o cualquier otro dato personal». Recuerda que Lanbide cuenta con un sistema de verificación automática de la identidad mediante BakQ para las personas que dispongan de ella, y con sistema de doble factor de Lanbide para el resto de las personas. «Por tanto, nunca te solicitaremos tus credenciales para acceder a nuestros servicios». Otros consejos son no abrir enlaces extraños, ni ofrecer información reservada, como el número de cuenta corriente, datos de tarjetas de crédito, o claves de a plataformas y servicios.