Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
Resumen
Este documento es una guía práctica para directores de escuelas y personal educativo sobre la gestión de violaciones de datos personales en el sector educativo.
El documento ha sido traducido del francés al castellano por Francisco Velásquez, el sucrito, con la ayuda del aplicativo Google translator. El enlace al texto íntegro en francés se encuentra en: https://www.cnil.fr/sites/cnil/files/2025-05/guide_violations_education_etablissements.pdf
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com
_______________________________________________________
GUIA PRACTICA VIOLACIONES DE DATOS EN EDUCACION
Mayo de 2025
Comisión Nacional de Informática y Libertades
Indice
Indice ...................................................................................................... 2
Introducción ........................................................................................... 3
¿Qué es una violación de datos personales? .........................................3
¿Qué hacer en caso de una violación de datos? ................................. .4
Robo o pérdida de equipos informáticos o documentos ................... 5
Situaciones reportadas frecuentemente .......................................... .5
¿Cómo analizar la situación? (lista no exhaustiva) .............................5
¿Qué hacer cuando ocurre el incidente? ............................................ .5
Buenas prácticas esenciales a adoptar para evitar estas situaciones .... .6
El error de envío ..................................................................................... .7
Situaciones reportadas frecuentemente .................................................. .7
¿Cómo analizar la situación? (lista no exhaustiva) ..................................7
¿Qué hacer cuando ocurre el incidente? (basado en situaciones de ejemplo) ... .7
Buenas prácticas esenciales a adoptar para evitar estas situaciones ....... .8
Un error de usuario .....................................................................................9
Situaciones reportadas frecuentemente ......................................................9
¿Cómo analizar la situación? (lista no exhaustiva) .....................................9
¿Qué hacer cuando ocurre el incidente? (basado en ejemplo de situaciones) . .9
Buenas prácticas esenciales a adoptar para evitar estas situaciones ................10
Situaciones reportadas frecuentemente ...............................................................11
¿Cómo analizar la situación? (lista no exhaustiva) .............................................11
¿Qué hacer cuando ocurre el incidente? (basado en situaciones de ejemplo) ...12
Buenas prácticas esenciales a adoptar para evitar estas situaciones ..................12
Los ataques ..........................................................................................................13
¿Cómo analizar la situación? (lista no exhaustiva) ..............................................14
¿Qué
hacer cuando ocurre el incidente? (basado en ejemplo de situaciones) ....14
Buenas
prácticas esenciales a adoptar para evitar estas situaciones ..................15
Posibles
consecuencias del robo de datos con la venta en el mercado negro .......16
Apéndice
2: Recursos de las academias sobre seguridad de datos ........................17
Introducción
La reglamentación sobre la protección de datos
se inscribe en un contexto de
numerización de la sociedad y se basa en el principio de que «las TI deben
estar al servicio de cada ciudadano». No deben atentar contra la identidad humana, los derechos humanos,
la vida privada ni las libertades individuales o
públicas[1].
A través del concepto de violación de datos
personales[2],
la reglamentación toma en cuenta la posibilidad de que surja un
incidente/evento que torne accesibles/utilizables los datos para terceros, de
forma accidental intencional.
¿Qué es una violación de datos personales?
De un lado, existen grandes principios jurídicos:
|
·
El
derecho a la privacidad es el derecho a no ser molestado por otros
tanto en el hogar como en la esfera privada. ·
Una
violación es una atentado a un derecho, a un principio, a un compromiso. En su versión
más grave, existe la voluntad de dañar, de hacer daño a una persona. ·
El
atentado a la vida privada incluye acciones, comportamientos (prohibidos por la ley) acciones, comportamiento, sobre sus hábitos, sobre su
vida privada, que atentan contra la privacidad (que podrían resultar perjudiciales). |
De un lado, están el apellido,
prenombre, dirección, número de teléfono, etc.: estas informaciones
se solicitan que a menudo en el marco de las actividades .profesionales. Estos son datos personales. A partir de estos
datos es posible identificar una persona, obtener información sobre su
comportamiento, sobre sus costumbres, sobre su vida privada. |
Hablamos de una violación de datos personales cuando
sucede un incidente e implica informaciones sobre personas físicas: este
evento nos obligará entonces a considerar una posible violación de la
privacidad, si se hiciera un uso malicioso de esta información.
El hecho desencadenante puede ser el robo, pérdida,
modificación o difusión incontrolada de datos.
En el sector educativo, los centros de enseñanza primaria y secundaria realizan numerosas
operaciones de tratamiento de datos personales (inscripciones escolares,
entorno de trabajo digital, seguimiento de enfermería de estudiantes, etc.) que
pueden ser objeto de violaciones de datos. Las noticias recientes muestran que
las escuelas no están exentas de estos incidentes. Sin embargo, en los últimos
cinco años, la CNIL solo ha sido informada de una media de treinta violaciones
de datos al año, de primer y segundo grado combinados. Durante sus operaciones
de campo, la CNIL constató que esta cifra no refleja la realidad que viven los
establecimientos a diario.
En colaboración con los delegados de protección de datos académicos
(OPD[3])
y el Ministerio de Educación Nacional, la CNIL ha elaborado esta guía. Su objetivo
es ayudar a los directores de escuelas primarias, directores de escuelas
secundarias, así como al personal administrativo.
Una versión
similar de esta guía ha sido puesta a disposición de los responsables de
protección de datos como parte del apoyo a los profesionales de la educación y
para sugerir un procedimiento a seguir en caso de una violación de datos.
Además de esta guía, la
CNIL ofrece contenido sobre la seguridad de los datos personales.
Véase en particular:
•
la
guía de la seguridad de los datos personales[4].
Este documento, actualizado periódicamente, contiene en particular ficheros sobre seguridad de los puestos de trabajo y sobre la seguridad del material informático, que puede aplicarse en los
centros educativos;
•
el referencial relativo a la protección de niñez[5] que en su punto 10 (p. 22 - 24). Esta guía enumera las mejores prácticas a adoptar
para proteger los datos relativos a menores.
En términos generales, en materia de seguridad, la CNIL recomienda:
•
el cifrado[6]
de discos duros o documentos[7]
(el cifrado proporciona la garantía mínima de que terceros que no
conozcan la contraseña no puedan leer los datos);
•
utilizar un portal
de intercambio seguro de documentos (algunas academias recomiendan ciertas
herramientas [8]);
•
utilizar claves
de acceso « robustas[9]
" , es decir que tengan una longitud importante y combinen caracteres
alfabéticos en minúscula y mayúscula, números y caracteres especiales (para que
las contraseñas sean difíciles de adivinar, incluso por un ordenador);
•
habilitar la
autenticación multifactorial[10]
(por ejemplo, enviando un SMS de un solo uso a su teléfono para validar una
conexión) cuando se le ofrezca;
•
aprender a comprobar
el contenido de los mensajes recibidos (remitente, hipervínculos, etc.).
¿Qué hacer en caso de
una violación de datos?
□
Se necesita analizar
qué información[11]
y qué personas se ven
afectadas;
□
Conviene a
advertir lo antes posible al delegado
de protección de datos[12].
Esta persona .puede acompañarle en
sus esfuerzos y ayudarle a identificar si el incidente representa un .riesgo para la privacidad de las
personas involucradas.
Robo o pérdida de material informáticos o
documentos
Los soportes digitales (ordenadores, tabletas, memorias USB, discos
duros externos, etc.) y .los
documentos en papel pueden contener datos personales de alumnos, familias o personal
del centro.
Situaciones reportadas
frecuentemente
Robo en los locales
“Durante el fin de semana, las oficinas de la
escuela fueron asaltadas. Robaron la computadora, la tableta y la copia de seguridad externa. Contenían todos
los expedientes de los estudiantes (incluidos los datos de salud) y los de sus
padres sobre varios años. La computadora no
estaba protegida por una contraseña.”
Robo fuera de las
instalaciones
“La computadora portátil de trabajo del
asesor educativo superior de la escuela dejó sin
vigilancia en su vehículo y fue robada. El disco duro de la computadora no está encriptado.
Olvido en un espacio
público
“El ordenador portátil personal del
psicólogo quedó en el restaurante. Contiene datos
sobre el seguimiento de las familias en dificultades y datos de salud de los estudiantes.”
¿Cómo analizar la
situación? (lista no exhaustiva)
Los criterios de alerta
(constatados en las
notificaciones) pueden ayudar a evaluar la gravedad de la situación:
·
Un disco duro
no cifrado o un soporte móvil (por ejemplo, una memoria USB)[13].
·
Una computadora
robada que no está protegida por contraseña.
·
Una contraseña
“adivinable” o escrita en un post-it.
·
Datos relativos
a la salud física o mental de los estudiantes (PAI, informes psicológicos,
etc.), información sobre la situación social de las familias, datos reveladores
de creencias religiosas, etc.), el número de seguridad social enmarcado por el Decreto n°20iQ-34i du 1Q avril 201Q[14], las medidas administrativas tomadas
contra los estudiantes, etc.
·
Un contexto o
una voluntad de dañar a las personas involucradas.
¿Qué hacer cuando
ocurre el incidente?
Contacte con el responsable de protección de datos[15].
Prepare de antemano la siguiente información:
□
¿Qué materiales
o documentos fueron robados o perdidos?
□
¿Es que el disco
duro del material está cifrado? ¿Es que la contraseña para descifrar está
en una nota adhesiva con el material robado o es fácil de adivinar?
□
¿De
qué información se trata (datos de estudiantes, datos familiares, etc.)
y de qué categorías de datos (datos de estado civil, datos de salud, etc.)?
□
¿Podría
existir algún elemento contextual que pudiera agravar el incidente?
Las buenas prácticas esenciales a adoptar para
evitar estas situaciones
□ Cifrar los discos duros de ordenadores o equipos móviles utilizados
en .establecimientos educativos[16]
(El cifrado proporciona una garantía
mínima de que terceros no puedan leer los datos si no tienen el
código/contraseña de descifrado).
□ Realizar salvaguardas periódicas (La salvaguarda es una copia de
los datos de su disco. Ella permite de revenir a un estado de funcionamiento
limpio, con la menor pérdida posible, y le permite saber a quién informar cuando sea necesaria
la comunicación).
□ Habilitar la función de borrado remoto, cuando esté disponible en el
dispositivo móvil.
□ Apague los equipos
cuando no los necesite.
Encuentre todos nuestros consejos en el
sitio web de la CNIL
“Pérdida o robo de equipos informáticos portátiles: ¡los
reflejos adecuados que hay que tener!” » :
https://www.cnil.fr/fr/perte-ou-vol-de-materiel-informatique-nomade-les-bons-reflexes-avoir
“Seguridad: Asegurar la informática móvil”:
https://www.cnil.fr/fr/securite-securiser-linformatique-mobile
El error de envío
Se trata de situaciones en las que una persona comparte información
sin intención. La falta de atención es la causa principal. Por eso la
prevención es importante en estos casos.
Situaciones reportadas
frecuentemente
Correo electrónico dirigido
a la persona equivocada
“Una maestra envió un mensaje sobre sus
estudiantes y lo envió al destinatario equivocado:
ella lo envió a todos los padres en lugar de solo a los maestros. .Un
padre reportó el error.
Ejemplos de posibles factores agravantes: el correo electrónico
contiene datos personales de salud o datos sobre la situación social de la
familia.
¿Cómo analizar la
situación? (lista no exhaustiva)
Los criterios de alerta
(que se encuentran en
las notificaciones) pueden ayudar a evaluar la gravedad de la situación:
·
El mensaje revela datos sobre la salud física o mental del alumnado
(PAI, informes psicológicos, etc.).
·
El mensaje
revela datos sobre la situación social o financiera de la familia, el número de
seguridad social enmarcado por el Decreto n°20iQ-34i du 1Q avril 201Q[17], las medidas administrativas tomadas contra los estudiantes.
·
Los datos son o
serán reutilizados por uno de los destinatarios para otro propósito.
·
Un contexto en
el que pueda existir un deseo de dañar a las personas involucradas.
¿Qué hacer cuando
ocurre el incidente? (basado en situaciones de ejemplo)
□
Recuperar
mensajes o cancelar su envío, si la herramienta de mensajería lo permite.
□
Contacte
con el Delegado de Protección de Datos[18]. Prepare
de antemano la siguiente información:
·
¿Los
destinatarios se conocen entre sí y ya tienen la información relevante?
·
¿De
qué información se trata (datos de estudiantes, datos familiares, datos de
salud, etc.)?
·
¿Podría
un elemento contextual (que permita presumir un deseo de dañar a la gente)
resultar agravante del incidente?
□ En colaboración con el delegado de protección de
datos, contactar con los destinatarios para solicitarles que eliminen el
mensaje y que no utilicen la información que contenía (si es posible y .dependiendo de la situación, solicitarles
certificación escrita).
Las buenas prácticas esenciales a adoptar para
evitar estas situaciones
□
Cifrar [19]
los archivos adjuntos con una
contraseña y transmitir la contraseña a través de otro canal.
□
Utilizar un portal
de intercambio de documentos seguro[20]
o una herramienta de comunicación (tipo ENT) para los intercambios entre
las familias y el establecimiento.
□
Ocultar el
campo "cc" en la
herramienta de mensajería y favorecer la función "cco" en la herramienta de mensajería.
Encuentre todos
nuestros consejos en el sitio web de la CNIL
·
“La
guía para la seguridad de los datos personales”:
httDs://www.cnil.fr/fr/guide-de-la-securite-des-donnees-üersonnelles
El error de un usuario
Se trata de situaciones en las que una persona realiza una acción que
revelará datos de forma involuntaria. La causa principal es la falta de
conocimiento de los procedimientos o principios de protección de datos. En
estos casos es importante la sensibilización.
Situaciones reportadas
frecuentemente
Uso de una herramienta
“pública” no segura
“Un miembro del equipo administrativo
utilizó una herramienta de toma de notas basada en
la web, con reconocimiento de voz, de modo que los datos (de estudiantes, familiares, personal,
.etc.) devinieran accesibles en la web.
Datos hechos públicos
Se creó un documento para brindar la información
necesaria al profesor
sustituto. Este documento, por razones
desconocidas, se publicó en un sitio web con datos de los estudiantes y fue
indexado por motores de búsqueda.
Un tercero informa que se publicó en un
sitio web un archivo de texto de una base de datos de alto nivel. Los robots de
indexación recuperaron la información, de modo que
los datos aparecen cuando se realiza una búsqueda
a través de un motor de búsqueda.
¿Cómo analizar la
situación? (lista no exhaustiva)
Los criterios de alerta
(constatados en las
notificaciones) pueden ayudar a evaluar la gravedad de la situación:
·
Los datos de
personas físicas son fácilmente accesibles mediante búsquedas con un motor de
búsqueda.
·
Los datos
revelan información sobre la situación social o financiera de la familia.
·
Un contexto en
el que puede existir una voluntad de dañar a las personas involucradas.
¿Qué hacer cuando
ocurre el incidente? (basado en situaciones de ejemplo)
□
Presentar
una solicitud de desreferenciamiento[21] datos
publicados ante los motores de búsqueda
□
Contacte con el
Delegado de Protección de Datos[22].
Prepare de antemano la siguiente información.
·
¿El
establecimiento tiene conocimiento de que la información ya ha sido hecha
pública por las personas por iniciativa propia?
·
¿Qué información está involucrada (datos de
estudiantes, datos familiares, datos de salud, etc.)?
·
¿Podría un
elemento contextual (que permita presumir un deseo de dañar a la gente)
resultar agravante del incidente?
Las buenas prácticas esenciales a adoptar para
evitar estas situaciones
□
Utilice las
herramientas referenciadas por la Educación Nacional o las academias.
□
Evite sitios
inseguros o ilegales.
“Mi seguridad digital”,
CNIL:
·
https://www.cnil.fr/fr/mon-quotidien/ma-securite-numerique
.• Póster Ciberreflejos:
protégete en Internet (PDF, 1,4 MB):
Robo de nombre de usuario y contraseña
Este es el comportamiento de una persona que con fines maliciosos roba
las claves de acceso de un usuario.
Situaciones frecuentemente reportadas .Ingeniería social /
incentivo para divulgar información
“Un estudiante incita a otro estudiante a darle
información personal, incluyendo su nombre de usuario y contraseña. Esta
información es utilizada para enviar mensajes abusivos a profesores bajo el
nombre del estudiante que fue víctima del robo”.
Sesión abierta
Un profesor dejó su sesión abierta: alumnos de un colegio accedieron a
su correo electrónico, enviaron correos maliciosos, modificaron información
académica y accedieron a exámenes.
Error por descuido
Un profesor dejó la pantalla de inicio de su ordenador la página de su
conexión a la ENT, mostrando su nombre de usuario y contraseña / a descubierto (en
una nota adhesiva o en un cuaderno desatendido). Un estudiante tomó una foto de
estos elementos y la compartió con sus compañeros, quienes pudieron modificar
sus evaluaciones.
Usar la misma
contraseña para varias cuentas
Un miembro del personal usa la misma contraseña para todos sus
servicios, incluido el acceso a la sala de la ENT. Esta contraseña fue robada
durante una filtración de datos y puesta a la venta. Un tercero malintencionado
inició sesión y utilizó la cuenta de correo electrónico para enviar correos
electrónicos de phishing con un archivo adjunto a todas las familias. Este
archivo adjunto permitió el robo de nombres de usuario y contraseñas, que luego
se pusieron a la venta.
Transmisión del par
“nombre de usuario + contraseña”
Desde la cuenta robada de un profesor de secundaria, se enviaron
correos electrónicos abusivos a padres y estudiantes. Además, se modificaron
notas en Pronote y se compartieron los códigos en Discord.
¿Cómo analizar la
situación? (lista no exhaustiva)
Los criterios de alerta
(que se encuentran en
las notificaciones) pueden ayudar a evaluar la gravedad de la situación:
·
El usuario
cuyas credenciales fueron robadas tiene derechos “extendidos” del tipo
“administrador del establecimiento”.
·
Un contexto en
el que puede existir un deseo de dañar a las personas involucradas (envío de comentarios
insultantes, envío de mensajes maliciosos, modificación de resultados
académicos, etc.).
¿Qué hacer cuando
ocurre el incidente? (basado en situaciones de ejemplo)
□
Cambie una
contraseña tan pronto como haya perdido su carácter secreto/confidencial, ya sea accidentalmente o como resultado de un acto malicioso. Nunca
vuelvas a utilizarla en otras cuentas, incluso si esta contraseña se reutiliza
para diferentes servicios.
□
Contacte con el
Delegado de Protección de Datos[23].
Prepare de antemano la siguiente información:
·
¿Quiénes son
las personas en cuestión?
·
¿Podría un
elemento contextual (que permita presumir un deseo de dañar a las personas)
resultar agravante del incidente?
Buenas prácticas
esenciales a adoptar para evitar estas situaciones
□ Utilice contraseñas « robustas[24]“, es decir, contraseñas
largas que combinen caracteres alfabéticos en minúscula y mayúscula, números y
caracteres especiales (para que las
contraseñas sean difíciles de adivinar, incluso para una computadora).
|
□ |
Utilice una contraseña diferente para cada cuenta (si una
contraseña pierde su confidencialidad en una cuenta, no se podrá utilizar en
otra cuenta).
|
□ |
Guarde sus contraseñas en un administrador de contraseñas seguro[25],
accesible solo después de usar una contraseña maestra (por lo que no es
necesario memorizar todas las contraseñas diferentes).
|
□ |
Activar la 'autenticacion
multifactor[26]
(par exemple por el envío de un SMS a uso unico sobre vuestro telefono
para validar una conexion), cuando se le ofrezca.
□ Para los
“administradores de ENT”, suprimir rápidamente el acceso a los usuarios que han
abandonado el establecimiento.
Encuentre todos
nuestros consejos en el sitio web de la CNIL
·
“Mi
seguridad digital”:
https://www.cnil.fr/fr/mon-quotidien/ma-securite-numerique
·
“Violación del Trimestre: Ataque
por Robo de Credenciales en un Sitio Web”:
https://www.cnil.fr/fr/violation-du-trimestre-attaque-par-credential-stuffing-sur-un-site-web
Los ataques
Este es el comportamiento de una persona que con fines maliciosos
ingresará a una aplicación para .robar,
modificar o borrar datos. Estar preparado para la posibilidad de un ataque
puede ser un .elemento clave para
responder eficazmente.
Situaciones reportadas frecuentemente .Rançongiciel[27]
“Los sistemas informáticos de un establecimiento fueron objeto de un ataque de malware: los datos almacenados en estos
sistemas desaparecieron y solo quedó un mensaje solicitando el pago de un
rescate en criptomonedas, para obtener la .clave de descifrado y no revender los datos.
Todos los servidores y copias de seguridad han
sido cifrados[28].
Los datos personales afectados son datos del personal y datos de contacto de
las familias de los estudiantes.
El análisis técnico reveló que se había intentado
acceder a varias cuentas de usuarios.
Robo de datos
La ANSSI [29]
nos informó que se está vendiendo una base de datos de "estudiantes"
en un sitio web.
Sitio
"espejo"
“Se ha creado un sitio espejo de un
ENT idéntico al original: su dirección es ligeramente diferente.”
“Creyendo acceder a su ENT, los
estudiantes ingresan sus nombres de usuario y contraseñas en el portal
fraudulento. El hacker que creó este sitio falso vende la información de inicio
de sesión obtenida o la utiliza para robar
la identidad de los estudiantes atrapados.”
Robo de datos obtenidos
mediante malware
“Se invita a un estudiante a descargar, desde un video en línea, un software o extensión
gratuita que le permite mejorar su rendimiento en un videojuego. Antes de la
descarga, el programa le pide que desactive su antivirus. El estudiante
desactiva el antivirus, descarga e instala la extensión, lo que permite
que .el virus (de tipo " stealer ") robe la información de su .navegador, incluyendo sus credenciales de
inicio de sesión y contraseñas de ORL.”
Ataque por correo electrónico
“Un establecimiento fue víctima de phishing[30]: desde una dirección de correo electrónico perteneciente al establecimiento, se enviaron nuevos correos electrónicos de phishing, en
particular a otro establecimiento.
Esto permitió que un tercero no autorizado:
•
de tener acceso a la casilla de entrada del
establecimiento, que contenía copias de los pasaportes de los profesores y
otras pruebas de identidad,
•
de
tener acceso a los nombres y direcciones, datos de contacto e
identificadores de las personas que trabajan en el establecimiento,
•
realizar
una campaña de phishing, con un enlace/archivo adjunto malicioso. El mensaje del colegio
inspiró confianza: varios padres hicieron clic o
abrieron el mensaje, lo que permitió la difusión de la campaña de enganche.
¿Cómo analizar la
situación? (lista no exhaustiva)
Los criterios de alerta
(que se encuentran en
las notificaciones) pueden ayudar a evaluar la gravedad de la situación:
·
no se activó la
autenticación multifactor (MFA )[31]
·
un usuario
recibió un correo electrónico de phishing [32]con
un archivo adjunto malicioso que abrió o un usuario ingresó su nombre de
usuario y contraseña en una página de inicio de sesión falsa
·
las reglas de
redirección[33]
de correo electrónico fueron agregadas por un tercero
·
un contexto en
el que pueda existir un deseo de dañar a las personas en cuestión (envío de
comentarios insultantes, envío de mensajes maliciosos, modificación de
resultados escolares, amenazas terroristas, etc.).
¿Qué hacer cuando
ocurre el incidente? (basado en situaciones de ejemplo)
·
·
□ Ante la
multitud de situaciones posibles, se recomienda contactar con el delegado
de protección de datos[34],
recibir apoyo en la gestión del incidente, especialmente si esta
situación ocurre por primera
·
Buenas prácticas esenciales a adoptar para evitar
estas situaciones
□ Aprenda a reconocer un mensaje de phishing[35] (remitente, hipervínculos, etc.)
□ En caso de duda, al recibir un mensaje (correo electrónico, SMS,
etc.), tómese el tiempo de contactar a la .persona directamente o a través de otro
canal.
□ Conéctese desde el sitio web oficial (escriba la URL o guarde la
dirección en sus marcadores) en lugar de .desde un enlace recibido por correo electrónico
o resultado de un motor de búsqueda[36]
□ No instale programas de dudosa procedencia[37]
□ Contacte con el departamento de TI antes de instalar cualquier
software que no esté expresamente .autorizado
en equipos profesionales.
□ Instale un antivirus y actualice periódicamente sus dispositivos,
software y aplicaciones
□ Aprenda a administrar sus contraseñas de forma segura[38]
Encuentre todos nuestros consejos sobre la CNIL y
.cybermalveillance.gouv.fr
o “Violación del trimestre: ataques a la
mensajería”, CNIL:
https://www.cnil.fr/fr/violation-du-trimestre-les-attaques-sur-les-messageries
o “Ransomware, ¿qué hacer?”Cybermalveillance.gouv.fr
:
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-
.ransomwares
Apéndice 1: “Conceptos clave”
Centrarse en el rançonware
Una vez ingresados a un
sistema informático, terceros podrán
·
copiar,
destruir o modificar los datos allí contenidos;
·
instalar
malware, que les permita acceder al sistema en un momento posterior (durante la
noche o los fines de semana, por
ejemplo).
Las consecuencias de un ataque de este tipo no
estarán claras de inmediato. Sin embargo, para los usuarios, la consecuencia
visible es la pérdida de datos y la exigencia de pago de un rescate en el único
archivo de texto legible.
Para determinar qué
datos personales han sido afectados, es procedente
·
presentar una queja;
·
ponerse
en contacto con los equipos de TI [1],
quienes a su vez pueden ponerse en contacto con el CSIRT[2]
regional para ponerse en contacto con proveedores de respuesta a incidentes de
seguridad.
En el mejor de los casos, las investigaciones
técnicas concluirán que no ha habido robo de datos y las copias de seguridad permitirán volver a poner en funcionamiento el
sistema.
En el peor de los casos, los datos se ofrecerán en un sitio de reventa de
datos.
Centrarse en el
enganche
El phishing es una forma de estafa.
Los mensajes de phishing suelen estar diseñados
para ser casi idénticos a los mensajes de la organización cuya identidad han
suplantado. El estafador se hace pasar por un organismo conocido (banco, agencia tributaria, CAF, etc.) reproduciendo
su imagen (utilizando el logotipo, el nombre del organismo, etc.).
Le envía un correo electrónico generalmente
pidiéndole que “actualice” o “confirme su información después de un incidente
técnico”, en particular sus datos bancarios (número de cuenta, códigos
personales, etc.). El contenido también puede ser perturbador e incluir un
incentivo para hacer clic en un enlace (que parece redirigir a la página
oficial de un sitio).
Incluso si solo se roban nombres y direcciones de
correo electrónico, estos datos pueden ser utilizados por terceros para
realizar otros ataques de spam, phishing (por correo electrónico, SMS, etc.),
robo de identificadores y contraseñas, etc. Un correo electrónico de una
dirección del mundo educativo/docente podría confundirse fácilmente con el de
una persona de confianza: será importante alertar rápidamente a los destinatarios, en caso de secuestro de una
cuenta, para limitar los riesgos de propagación.
Sin embargo, tenga cuidado al enviar correos
electrónicos a menores, para evitar el efecto contrario al deseado. (Es decir,
advertirles puede animarles a ver el contenido pirateado). En el contexto de .entornos de trabajo digitales (DWE), puede
ser eficaz notificar al proveedor de servicios, quien puede eliminar este tipo
de contenido.
Posibles consecuencias
del robo de datos con la venta en el .mercado
negro
Los datos personales robados se pueden agregar y
cotejar con datos existentes que ya se venden en el mercado negro, por ejemplo.
Estos datos luego se
utilizan potencialmente en listas de spam o en ataques para intentar .acceder a cuentas de usuarios en otras
organizaciones, como bancos, tiendas en línea .o minoristas, utilizando información
previamente divulgada.
Apéndice 2: Recursos de
las academias sobre seguridad de datos
·
https://cybersecurite.toutatice.fr
: sitio de ciberseguridad
de la academia de Rennes donde se pueden encontrar los boletines enviados entre
cada vacaciones escolares a los usuarios de la academia
·
https://dane.ac-reims.fr/index.php/responsabiliser/rgpd
: Página RGPD del sitio web de la región
académica Grand-Est. Un vídeo, realizado en 2020, https://tube-institutionnel.apps.education.fr/w/f74Q8Q.^2-01a4-43ab-bdbb-7.c¡bf63a0bbe.ci
presenta el concepto de violación de
datos.
[1]
Artículo 1 de la Ley de
Protección de Datos
[3] «
DPO » por Data Protection Officer, en
inglés o « DPD » por Delegado de Protección de Datos
[5] Marco de referencia relativo al tratamiento de datos personales implementado en el marco de la protección de la infancia y la juventud y adultos menores de veintiún años (PDF, 463 ko) : https://www.cnil.fr/sites/cnil/files/atoms/files/referentiel relatif a la protection de lenfance.pdf
[6] El
cifrado es una medida de seguridad que garantiza que sólo las personas que
conocen el código de cifrado/descifrado/contraseña puedan leer la información.
[7] “Cómo
cifrar sus documentos y directorios», CNIL : https://www.cnil.fr/fr/comment-chiffrer-ses-documents-et-ses-repertoires
[8] Es
preferible utilizar herramientas recomendadas por el ministerio o por RENATER
(actor de referencia de servicios digitales para
educación e investigación). A modo de ejemplo: « Tutoriel video FileSender », Services Renater : https://services.renater.fr/groupware/filesender/guide utilisateur/tutoriel video ou « Filesender », Édu-portail de l'académie de Versailles : https://edu-portail.ac-versailles.fr/2018/10/11/filesender/
[9] «Generar
una contraseña segura», CNIL : https://www.cnil.fr/fr/generer-un-mot-de-passe-solide
[10] Al
solicitar más de una contraseña, este método de conexión permite agregar una
segunda verificación antes de acceder al servicio.
[11] Video
«¿Qué son los datos personales?? », CNIL : https://www.cnil.fr/fr/definition/donnee-personnelle
[13] El
cifrado es una medida de seguridad que garantiza que sólo las personas que
conocen el código/contraseña puedan acceder al cifrado/descifrado puede leer
información
[14] En
principio, en principio este numero no puede ser solicitado por establecimientos
escolares. Sin embargo, en la práctica, ocurre que se
recoge y que no se hace.
[15] Para
contactar con el responsable de protección de datos de su academia, vaya a la
página “Cuestiones de protección de datos en educación”, Ministerio de
Educación Nacional: https://www.education.gouv.fr/les-enjeux-de-la-protection-des-donnees-au-sein-de-l-education-7451
[16]
cf. video « como cifrar documentos », CNIL :
https://video.cnil.fr/w/wKuisSzFdDdFbKaVNHXWas
[17] En
principio, este número no puede ser solicitado por los establecimientos
educativos. Ver “Regreso escolar: lo que los establecimientos escolares y las
actividades extracurriculares pueden preguntarle”, CNIL:
https://www.cnil.fr/fr/rentree-scolaire-ce-que-les-etablissements-scolaires-et-periscolaires-peuvent-vous-demander.
Sin embargo, en la práctica, ocurre que se recopilan y se convierten en objeto
de una violación de datos.
[19] El cifrado es una medida de seguridad que garantiza que sólo
las personas que conocen el código de cifrado/descifrado puedan leer la
información, por lo que en caso de un error de envío, el archivo es
ilegible/indescifrable y los datos permanecen protegidos.
[21] El
derecho al desreferenciamiento permite solicitar a un motor de búsqueda que
elimine ciertos resultados de búsqueda asociados con su nombre y apellido: cf. https://www.cnil.fr/fr/comprendre-mes-droits/droit-au-dereferencement
[22] Para
contactar con el responsable de protección de datos de su academia, vaya a la
página “Problemas de protección de datos en la educación”, Ministerio de
Educación Nacional: https://www.education.gouv.fr/les-enjeux-de-la-protection-des-donnees-au-sein-de-l-education-74.^1
[23] Para
contactar con el responsable de protección de datos de su academia, vaya a la
página “Problemas de protección de datos en la educación”, Ministerio de Educación
Nacional: https://www.education.gouv.fr/les-enjeux-de-la-protection-des-donnees-au-sein-de-leducation-7451
[24] cf.
“Generar una contraseña segura”, CNIL : https://www.cnil.fr/fr/generer-un-mot-de-passe-solide
[25] cf.
Por ejemplo, la academia de París recomienda KeePass. XC: https://pia.ac-paris.fr/portail/jcms/pi
3861267/documentation-keepass-xc-methodes-installation
(Para acceder a la página es necesario iniciar
sesión)
[26] Al solicitar más de una contraseña, este método de conexión permite agregar una segunda verificación antes de acceder al servicio.
[27] Un
rançongiciel (ransomware en
inglés) Es un malware que bloquea el correcto funcionamiento de un
ordenador/servidor hasta que se pague un rescate (véase el apéndice del
documento).
[28] El
cifrado garantiza que solo las personas que conocen el código de
cifrado/descifrado/contraseña puedan leer la información.
[29] ANSSI
(La Agencia Nacional para la Seguridad de los Sistemas de Información (Agence
nationale de la sécurité des systèmes d'information) tiene entre sus misiones
"organizar la protección de la Nación contra los ciberataques". Fuente: “Nuestras misiones”, ANSSI : https://cyber.gouv.fr/nos-missions
[30] El
hameçonnage (phishing en inglés) es una técnica
fraudulenta que utiliza sistemas de mensajería (correos electrónicos, SMS,
etc.) destinada a engañar a las personas (véase el apéndice del documento).
[31] En demandant plus qu'un mot de passe, ce mode de
connexion permet d'ajouter une 2e vérification avant d'accéder á
l'outil.
[32] cf. la section « Focus sur hameçonnage» en annexe
de ce document.
[33] Las reglas de redirección permiten el reenvío de correos electrónicos al atacante, con la eliminación del buzón legítimo, para que el atacante pueda enviar otro correo electrónico (a menudo una factura), desde una dirección de correo electrónico similar para recibir fondos. https://www.education.gouv.fr/les-enjeux-de-la-protection-des-donnees-au-sein-de-l-education-74.^1
[34] Para contactar con el responsable de protección de datos de tu academia, accede a la página
[36] Cuidado con los sitios “espejo”, que son copias de
sitios legítimos!
[38] «Consejos
de la CNIL para una buena contraseña”,CNIL : https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe
[39] Según la organización, podría
tratarse del proveedor informático, del responsable de seguridad de los sistemas de información (RSSI)
o del equipo CSIRT (Computer Security
Incident Response Team).
[40] Los CSIRT regionales (https://www.cert.ssi.gouv.fr/csirt/csirt-regionaux/)
son centros de respuesta a incidentes informáticos al servicio de las entidades
en su territorio. Atienden las solicitudes de asistencia de actores de tamaño
intermedio (p. ej., pymes, empresas de tamaño intermedio, colectividades
territoriales y asociaciones). La creación de
estos CSIRT debe permitir ofrecer localmente un servicio de respuesta a
incidentes de primer nivel, gratuito, complementario del que ofrecen los
proveedores, la plataforma Cybermalveillance.gouv.fr y los servicios del CERT-FR.
