La Junta de CyL pasó un mes negando un hackeo. Ahora reconoce que los datos de miles de estudiantes están a la venta en la 'dark web'
Publicado el 26/06/2025 por Diario Tecnología Artículo original
A finales del pasado mes de mayo, una alarma se encendía en el sistema educativo de Castilla y León: un presunto hacker, bajo el seudónimo Mafiatributaria, afirmaba haber accedido a la base de datos del portal Educacyl y ofrecía en venta más de un millón de registros personales de estudiantes y familiares. Entre la información filtrada, aseguraba disponer de numerosos datos personales de los mismos.
Además, el hacker afirmaba contar incluso con una API funcional que permitía buscar información dentro de la base de datos, y un exploit con capacidad para restablecer contraseñas de cualquier usuario del sistema, lo que habría facilitado el acceso no autorizado continuado incluso después del ataque inicial.
Sin embargo, pese a la gravedad de las declaraciones, la respuesta inicial de la Junta fue de negación rotunda.
Mensaje en la 'Dark Web' que puso sobre aviso de lo ocurrido
Primera reacción: negación categórica y mensaje de "plena normalidad"
El 2 de junio, apenas dos días después del supuesto ataque, la consejera de Educación, Rocío Lucas, declaraba que "no hay rastro de ningún hackeo" y aseguró que Educacyl funcionaba con "plena normalidad". Esta afirmación fue reiterada en distintos medios, donde se insistía en que los responsables técnicos del sistema no habían detectado intrusiones.
En paralelo, docentes y usuarios reportaban fallos en la plataforma, y los medios especializados en ciberseguridad comenzaban a difundir las amenazas publicadas por el presunto hacker. Aun así, la Junta mantuvo su postura.
Giro progresivo: de la cautela a la investigación oficial
Una semana más tarde, en sede parlamentaria, la consejera Lucas matizó su discurso: admitió de repente que se había tenido noticia de un "intento de acceso no autorizado" y que se había abierto una investigación en colaboración con la empresa desarrolladora y se había notificado a la Agencia Española de Protección de Datos y a la Guardia Civil. Esta evolución de la versión oficial se dio tras fuertes críticas de la oposición, que acusó a la Junta de "negar la realidad".
La confirmación definitiva: el ataque existió
Finalmente, ayer 25 de junio, la Junta confirmó oficialmente el ciberataque. En un comunicado, se reconoció que el 31 de mayo había tenido lugar una intrusión que comprometió datos sensibles del alumnado y sus tutores legales, incluyendo DNI, teléfonos, direcciones y correos electrónicos. La denuncia ante la Guardia Civil se formalizó el 3 de junio, apenas un día después de las declaraciones públicas que todavía hablaban de "normalidad".
La propia consejera, que días antes había negado cualquier intrusión, admitió en sede parlamentaria que se actuó "de inmediato" para contener la brecha de seguridad y proteger los datos afectados. La Junta implementó entonces nuevos filtros de seguridad y sistemas de monitorización.
Acceso a la plataforma Educacyl
Consecuencias y riesgos
La confirmación oficial del ciberataque a Educacyl por parte de la Junta de Castilla y León no solo ha desvelado la magnitud del incidente en términos técnicos, sino que también ha dejado al descubierto una serie de consecuencias que afectan directamente a miles de familias y al sistema educativo autonómico.
Exposición masiva de datos sensibles
El ataque ha comprometido datos personales de estudiantes y tutores legales: nombres, apellidos, documentos de identidad (DNI/NIE), fechas de nacimiento, nacionalidad, dirección física, teléfonos y correos electrónicos.
La posesión de este conjunto de datos supone una vulnerabilidad crítica: permite a actores maliciosos realizar suplantaciones de identidad, fraudes contractuales o bancarios, y ataques dirigidos como phishing (correos electrónicos fraudulentos que simulan provenir de instituciones legítimas).
La posibilidad de llamadas o correos con fines comerciales ilegítimos, chantajes o acoso también es real, especialmente cuando se trata de menores y sus familias.
Responsabilidades legales
El Reglamento General de Protección de Datos (RGPD) establece que cualquier entidad responsable de una brecha de seguridad debe notificarla a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas, así como informar a los afectados si existe riesgo significativo.
En este caso, la Consejería cumplió con la notificación formal que exige el artículo 33 del reglamento, pero el artículo 34 también establece que si la brecha de seguridad entraña un alto riesgo para los derechos y libertades de los afectados, la entidad (la Junta, en este caso) también está obligada a comunicarlo directamente a los interesados.
Por lo tanto, el mensaje inicial de la Junta negando públicamente todo lo ocurrido todavía podría ser objeto de revisión por parte del regulador.
En paralelo, sindicatos como CSIF han pedido esclarecer responsabilidades políticas, mientras que partidos de la oposición han exigido una auditoría completa del sistema de seguridad de Educacyl y una comparecencia urgente en las Cortes autonómicas.
Imagen | Marcos Merino mediante IA
utm_campaign=26_Jun_2025"> Marcos Merino .