Universidad de Lancaster

La policía ha arrestado a un hombre de 25 años de Bradford, Inglaterra, bajo sospecha de cometer delitos de la Ley de uso indebido de computadoras después de que la Universidad de Lancaster sufriera una violación de datos que afectara a más de 12,000 estudiantes y solicitantes.

En una declaración, la Agencia Nacional del Crimen dijo: «Los oficiales de la Unidad Nacional de Delitos Cibernéticos de la NCA arrestaron al hombre el lunes (22 de julio) y desde entonces ha sido puesto en libertad bajo investigación mientras las investigaciones están en curso«.

Como informamos ayer , la Universidad de Lancaster admitió que un ataque de phishing había provocado que personas o personas desconocidas accedieran a los datos personales de las personas que solicitan cursos de pregrado a partir de este año y en 2020.

Los nombres, direcciones, cuentas de correo electrónico y números de teléfono se encontraban entre las categorías de datos visibles para los piratas informáticos. Se enviaron facturas fraudulentas a algunos, admitió la universidad. Con los solicitantes en el extranjero (de los cuales Lancaster tuvo 575 el año pasado de países no pertenecientes a la UE y 375 de otros países de la UE) pagando tarifas medidas en decenas de miles de libras por año, el potencial de altos retornos es grande.

Nuestras fuentes agregaron que alrededor de media docena de estudiantes habían pagado estas facturas fraudulentas. Las tarifas de pregrado más altas para estudiantes extranjeros (no pertenecientes a la UE) son el curso de Licenciatura en Medicina, Licenciatura en Cirugía (MBChB) de Lancaster a £ 31,540.

Fuentes con conocimiento de la situación dijeron a The Register que la violación podría haber afectado a 20,000 personas. La propia estimación de El Reg de los solicitantes del Reino Unido afectados por la violación es de 12.500 personas según los datos públicos de UCAS, tal como lo expusimos ayer.

Además, se nos informa que la ruta de los atacantes fue a través del compromiso de una cuenta de personal con credenciales de administrador, entregándoles a los atacantes un boleto de oro con el que arrasar los sistemas de la universidad.

La Universidad de Lancaster declinó hacer comentarios.

En abril, JISC, los artistas anteriormente conocidos como el Comité Conjunto de Sistemas de Información Académicos del Reino Unido, advirtió que tenían una tasa de éxito del 100 por ciento cuando los investigadores robaron las universidades como parte de un ejercicio de trabajo en equipo rojo. Evidentemente, alguien no estaba escuchando.

La ciberdelicuencia sube constantemente de nivel con el paso del tiempo. Esto ha ocasionado que todas las empresas encargadas en ciberseguridad estén cada vez más alerta de posibles actos delictivos digitales. Sin embargo, estas no siempre consiguen evitar que ciertos hackers se salgan con la suya y terminen llevando a cabo sus planes afectando a decenas, centenas y miles de personas en todo el mundo. Y es que no es posible detenerlos a todos. Un ejemplo de esto ocurrió en una prestigiosa universidad donde más de 12 mil estudiantes fueron afectados por violación de datos. En el siguiente post te contamos como sucedió.

Violación de datos afecta a más de 12,000 estudiantes

La Universidad de Lancaster, que actualmente ofrece un título en seguridad acreditado por el GCHQ, ha sido golpeada por un súper ataque de phishing, uno realmente sofisticado y malicioso, o al menos con el suficiente nivel para provocar la filtración de alrededor de 12,500 datos personales de estudiantes aspirantes. Todo esto se dio al descubierto en un comunicado publicado hace unos días, en donde la universidad admitió que se había accedido a los registros de postulantes de pregrado para los años 2019 y 2020, junto con los datos de algunos estudiantes actuales.

La información a la que accedieron estos piratas informáticos (de los cuales hasta el momento no se sabe nada) incluye nombres, direcciones, números de teléfono y direcciones de correo electrónico. La universidad también mencionó que incluso hubo facturas fraudulentas que se habían enviado a algunos solicitantes universitarios.

Lancaster aceptó a 3,585 solicitantes de cupos para estudiantes en el año educativo 2018. En los últimos cinco años, el número de personas aceptadas en los cursos aumentó alrededor de 100 a 200 personas por año, lo que significa que es probable que la última violación de datos haya afectado a alrededor de 3700 postulantes. De los 3,585 estudiantes aceptados por Lancaster el año pasado, 375 eran de otros países de la UE y 575 eran de naciones no pertenecientes a la UE.

Las estadísticas adicionales compiladas por UCAS muestran que 12,545 personas se presentaron a Lancaster solo en 2018, y el número se mantuvo aproximadamente estable durante los tres años anteriores. Sobre esa base, la reciente violación de datos puede haber afectado a unos 12.500 solicitantes.

Lancaster que ofrece una maestría en seguridad cibernética, acreditada por nada menos que GCHQ confía que la intrusión no fue causada por los estudiantes que pusieron a prueba sus habilidades recién aprendidas. Sin embargo, la universidad no respondió a las preguntas sobre cuántas personas se vieron afectadas, alegando que una investigación policial significa que está sujeta a algún tipo de código de oferta. Esta estrategia de «culpar a los policías» es relativamente común para desviar las malas relaciones públicas y tratar de minimizar el impacto de una violación de datos.

El daño está hecho, y de los culpables no se sabe nada, por lo que es muy posible que este delito quede impune. Solo queda esperar que no haya consecuencias negativas para ninguno de los estudiantes afectados.

Hombre arrestado por acusaciones de violación de datos de la Universidad de Lancaster en el Reino Unido

Más de 12 mil estudiantes fueron afectados por violación de datos

Violación de datos afecta a más de 12,000 estudiantes