Universidad de Nueva York acuerda inversión de 3,5 millones de dólares en ciberseguridad tras filtración de datos.

Marymount Manhattan College acordó invertir en ciberseguridad en lugar de pagar una multa de 1 millón de dólares como consecuencia de un incidente que llevó a la filtración de datos de 200 mil estudiantes.

La Fiscal General del Estado de Nueva Yor, Letitia James, está forzó a la “Marymount Manhattan College” (MMC), una institución de artes liberales de la ciudad de Nueva York, a acordar una inversión de 3,5 millones de dólares para abordar las deficiencias de ciberseguridad de este universidad que el 2021, y tras un ciberataque de ransomware, sufrió la exfiltración de los datos de 200 personas.

La Fiscal General señaló que “cuando instituciones como Marymount Manhattan College no protegen adecuadamente los datos en línea, miles de neoyorquinos corren un riesgo como resultado”. La autoridad indicó que “en la era digital moderna, tanto las empresas como las universidades deben hacer un mejor trabajo para salvaguardar la información personal que se les confía” y complementó que “este acuerdo ayudará a garantizar que futuras clases de estudiantes, profesores y ex alumnos de MMC tengan sus datos en línea protegidos”.

El anuncio se realizó durante los días pasados y en el, se acuerda que la inversión en ciberseguridad de la universidad reemplazará la multa de un millón de dólares previamente establecida por las autoridades.

Una investigación realizada por la oficina de la Fiscal General encontró que alrededor del 12 de noviembre de 2021, un grupo de ciberatacantes explotaron vulnerabilidades en un servidor Microsoft Exchange que les dio acceso a números de seguro social, fechas de nacimiento, números de tarjetas bancarias y de crédito, números de pasaporte y números de licencia de conducir, además de información médica y nombres de usuario y contraseñas de 191.752 estudiantes, empleados y ex alumnos, además de 99.097 residentes de Nueva York.

Los atacantes cifraron los datos en los servidores de la universidad y exigieron un pago por su devolución. El grupo tras el ataque no fue identificado, pero la MCC accedió en su momento al pagó del rescate.

Durante ocho meses la entidad universitaria investigó lo acontecido y presentó sus conclusiones a la oficina de la Fiscal General, indicando que algunos de los datos tenían más de una década de antigüedad y provenían de personas que ni siquiera habían asistido a la MCC.

Por su parte, la fiscalía del Estado de Nueva York inició su investigación en agosto de 2022, encontrando “una serie de deficiencias en las salvaguardias técnicas, administrativas y procesales de MMC para su Infraestructura Técnica antes de la violación”.

Entre otros problemas, la universidad no contaba con una política para eliminar los datos de los estudiantes después de un cierto período de tiempo y, en cambio, retenía datos personales durante décadas.

Además, la universidad tenía una serie de deficiencias como consecuencia del uso de versiones obsoletas de Windows, la nula realización de análisis de vulnerabilidades o de pruebas de penetración, todo lo cual violaba la legislación del Estado en lo relativo a la proporción de seguridad de los datos que fuera razonable, además de que no entrego una notificación oportuna a los afectados.

La universidad no admitió o negó las conclusiones de la fiscalía, pero estuvo de acuerdo en tomar invertir la suma de 3,5 millones de dólares en ciberseguridad y además comprometerse a la creación de un programa de seguridad de la información para brindar capacitación anual a los empleados, el cifrado de los datos confidenciales y la realización de pruebas de penetración anuales.