Especialistas en protección de datos reportan que UNICEF, la agencia de asistencia humanitaria para la niñez de la Organización de las Naciones Unidas (ONU) filtró por error la información personal de miles de personas a través de Agora, un sistema de aprendizaje en línea. Aunque la versión oficial habla de un error humano, muchos aún temen que en realidad se trate de un ataque de hacking.
Hace un par de semanas, se envió por error un correo electrónico a unos 20 mil usuarios de esta plataforma de aprendizaje; el mensaje contenía la información privada de 8 mil 253 personas inscritas en uno de los cursos impartidos por UNICEF a través de Agora. Esta plataforma ofrece diversos cursos en línea sobre derechos de la niñez y acciones humanitarias, además de ofrecer miles de investigaciones, artículos y estadísticas sobre el estado de la niñez en todo el mundo. Tanto el personal de UNICEF como usuarios externos son miembros de Agora.
“Esta filtración ocurrió de forma inadvertida después de que uno de nuestros usuarios ejecutara un informe”, menciona un comunicado de los especialistas en protección de datos de UNICEF. Entre los detalles personales expuestos durante este incidente se encuentran:
- Direcciones email
- Género de los usuarios
- Tipo de vínculo entre el usuario de Agora y UNICEF
El personal de UNICEF detectó el incidente un día después de que el correo que contenía la información personal fue enviado; “el inconveniente ya ha sido corregido, trabajamos para evitar que algo similar se presente en el futuro”, agrega el comunicado.
Todos los usuarios de Agora fueron notificados sobre el incidente, además, UNICEF les solicitó eliminar la hoja de cálculo que contiene la información expuesta en caso de haberla recibido. El mensaje concluye con una disculpa de la organización.
Expertos en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS) aseguran que esta clase de incidentes ayudan a los cibercriminales a construir enormes bases de datos con fines maliciosos. Como medidas de prevención, los expertos recomiendan a los usuarios potencialmente afectados cambiar las contraseñas de sus cuentas de correo, mantenerse alertas ante cualquier email sospechoso y monitorear sus otras cuentas en línea, como perfiles de redes sociales.
Aún no se sabe si las autoridades europeas investigarán este incidente bajo lo establecido en el Reglamento General de Protección de Datos (DGPR); algunos expertos creen que, dado que se trata de una agencia de las Naciones Unidas, UNICEF podría evitar la investigación, al menos por esta ocasión. Clare Sullivan, especialista en protección de datos de la firma CyberSMART, menciona que este es el escenario más probable, aunque aún falta discutirlo en las cortes europeas.
Al respecto, Najwa Mekki, jefe de prensa de UNICEF, declaró de forma muy clara su postura: “UNICEF no está sujeta a lo establecido en el GDPR; el funcionario también señaló que el incidente aún no ha sido reportado ante ninguna autoridad.
No obstante, la comunidad de la ciberseguridad considera que el hecho de que UNICEF no esté sujeta a GDPR no significa que la agencia no deba implementar las más estrictas medidas de protección de la información del personal, colaboradores y participantes de sus programas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad