Cyber Incident Victim: Educacyl
Date:
May 2025
Location:
Spain
Summary
An unauthorized access to the Educacyl platform allowed a student, who allegedly posed as a teacher, to reach the system managing student absences and obtain personal data including names, surnames, identification numbers, birth dates, nationalities, addresses, phone numbers and email addresses of families, students and staff. The regional education authority confirmed the breach after initial denials, notified the data protection agency and filed a police complaint, while security measures were strengthened and monitoring alerts added to mitigate further exposure.
| CIA Posture | Motives | Tactics, Techniques & Procedures |
|---|---|---|
| Available to members | 0 motives | 1 technique |
| Threat Actors | Type | Location |
|---|---|---|
| 0 actors | Available to members | Available to members |
Description
El 31 de mayo de 2025 la Consejería de Educación de Castilla y León detectó un incidente de seguridad en el sistema de gestión de ausencias del alumnado que aloja el portal Educacyl, según informó la propia administración. El 2 de junio la Consejería confirmó el acceso no autorizado al sistema, aunque ese mismo día negó ante los medios que hubiera ocurrido algo real y lo describió como una falsa alarma. Tras la confirmación interna, el 3 de junio se notificó el incidente a la Agencia Española de Protección de Datos (AEPD) y se presentó una denuncia ante la Guardia Civil para que investigaran el alcance del acceso y los datos potencialmente comprometidos. La información sobre el incidente no se hizo pública hasta el 27 de junio, cuando ya había finalizado el curso escolar, pese a que la Consejería ya había tenido conocimiento del suceso varios días antes. Una semana después de la confirmación inicial, en una sesión plenaria, la titular de Educación, Rocío Lucas, reconoció un "intento de acceso no autorizado" al portal Educacyl, admitiendo que ya existía una confirmación previa del acceso según lo trasladado al Instituto Nacional de Ciberseguridad (Incibe).
Según la información proporcionada por la Consejería, el presunto responsable sería un alumno que habría usurpado la identidad de un profesor para ingresar al portal Educacyl, que contiene miles de datos de familias, alumnos y docentes. Los datos que quedaron expuestos en este acceso no autorizado incluyen nombre, apellidos, DNI o NIE, fecha de nacimiento, nacionalidad, dirección, teléfono y correo electrónico de los usuarios de la plataforma. El Incibe advirtió que la información obtenida podría ser utilizada para suplantación de identidad, envíos masivos de correos no deseados o llamadas fraudulentas. Para controlar los posibles daños, la Consejería indicó que se reforzaron los sistemas o aplicaciones afectadas, se implementaron nuevos filtros en la red corporativa y se activaron alertas de monitorización adicionales. Los Cuerpos y Fuerzas de Seguridad del Estado continúan investigando el acceso no autorizado para determinar el alcance exacto de los datos a los que se pudo haber tenido acceso y si esos datos están en riesgo.
La portavoz de la Junta de Castilla y León, Carlos Fernández Carriedo, explicó que la detección del incidente ocurrió el 31 de mayo y que posteriormente se siguieron los protocolos de notificación a la AEPD y de denuncia judicial. La titular de Educación, Rocío Lucas, inicialmente declaró que se había contactado con la Consejería de Movilidad para verificar la normalidad de los servicios y que se les había informado de que todo funcionaba con plena normalidad, aunque posteriormente reconoció el intento de acceso no autorizado en la sesión plenaria. El Incibe, en su comunicación, confirmó que había sido informado del incidente y que estaba colaborando en la evaluación del posible impacto. Ninguna otra información adicional sobre el modus operandi preciso del alumno ni sobre la existencia de datos realmente extraídos ha sido proporcionada en las fuentes disponibles.