Instructure, proveedor de la plataforma Canvas utilizada por la Universidad como Campus Virtual, ha notificado que ha sufrido un incidente de ciberseguridad que ha afectado a datos asociados a nuestra cuenta institucional.

Según la información comunicada por el proveedor, la Universidad se encuentra entre las instituciones educativas afectadas por esta brecha de seguridad. Instructure hizo la comunicación a la universidad el pasado 5 de mayo y posteriormente ha confirmado que determinados datos vinculados a nuestra organización podrían haberse visto afectados.

El incidente no ha afectado al correcto funcionamiento del Campus Virtual, que ha continuado operativo con normalidad. No obstante, de acuerdo con la información facilitada hasta el momento, podrían haber quedado expuestos algunos datos personales de personas de nuestra comunidad universitaria.

Los datos potencialmente afectados serían datos identificativos y de contacto, como nombre, apellidos, dirección de correo electrónico institucional u otros identificadores internos asociados al uso de Canvas. Asimismo, la Universidad está recabando información adicional del proveedor para confirmar el alcance del incidente.

Para la Universidad, la privacidad y la seguridad de los datos personales son una prioridad. Por ello, desde el momento en que se ha tenido conocimiento del incidente se han activado los protocolos internos de seguridad y protección de datos, y se está trabajando de forma coordinada con Instructure para analizar el alcance de la brecha, minimizar sus posibles efectos y reforzar las medidas de protección.

Entre las medidas adoptadas por la Universidad se encuentran:

• Activación inmediata del protocolo interno de gestión de brechas de seguridad.
• Coordinación con Instructure para obtener información específica sobre el alcance del incidente en nuestra institución.
• Revisión de cuentas con privilegios de administración, accesos, integraciones y configuraciones de seguridad asociadas a Canvas.
• Refuerzo de la monitorización para detectar posibles indicios de uso indebido de la información.
• Información a los colectivos potencialmente afectados, junto con recomendaciones de seguridad.
• Notificación del incidente a la Agencia Española de Protección de Datos, conforme a lo previsto en la normativa vigente.

Por su parte, Instructure ha informado de que ha contratado a una empresa forense externa para apoyar la investigación, ha notificado el incidente a las autoridades competentes, ha deshabilitado las cuentas comprometidas, ha revocado accesos y tokens asociados, ha corregido la vulnerabilidad identificada y ha desplegado medidas adicionales de protección y monitorización en la plataforma.

Aunque actualmente no hay constancia de un uso indebido de los datos potencialmente afectados, la Universidad recomienda a su comunidad extremar las precauciones ante posibles intentos de fraude o suplantación de identidad. En particular:

• Mantener las credenciales seguras y no compartirlas con nadie.
• Desconfiar de correos electrónicos, SMS o llamadas que soliciten contraseñas, datos personales o información académica.
• Acceder a Canvas y al resto de servicios universitarios únicamente desde los canales oficiales de la Universidad.
• Verificar siempre el origen de los mensajes antes de hacer clic en enlaces o descargar archivos.
• Comunicar cualquier mensaje sospechoso al [Servicio de Atención / CAU / Soporte TIC] a través de [correo o enlace].

Para cualquier cuestión relacionada con el tratamiento de datos personales, las personas interesadas pueden contactar con el Delegado/a de Protección de Datos de la Universidad en dpd@ucam.edu.

La Universidad continuará trabajando con el proveedor y con sus equipos técnicos para esclarecer completamente lo ocurrido, adoptar las medidas necesarias y mantener informada a la comunidad universitaria de cualquier novedad relevante.

Lamentamos las molestias que esta situación pueda ocasionar.