Madrid a 28 de noviembre de 2025. El 17 de octubre la Fundación de la Universidad Autónoma de Madrid ha sido víctima de un ciberataque a raíz del cual informamos a nuestros usuarios de que era posible que se hubiera visto comprometida información sobre ellos.

Desde el momento en que detectamos la intrusión, hemos tomado todas las medidas legales y técnicas necesarias para contener el ataque, investigar lo ocurrido y proteger nuestros sistemas. Se ha cursado denuncia a las autoridades correspondientes y estamos colaborando estrechamente con las mismas para esclarecer los hechos y minimizar cualquier impacto.

En aquel momento no pudimos ofrecer más detalles debido a la necesidad de realizar análisis más detallados para conocer el alcance del ataque. Hoy, tras una investigación más exhaustiva, podemos confirmar con certeza que, a pesar de las medidas de seguridad existentes en dicho momento, el ataque lo realizó un grupo criminal que ha sustraído la base de datos general de nuestros sistemas. Es importante señalar que la base de datos exfiltrada está diseñada para funcionar con un modelo y programas específicos de nuestra organización, lo que hace que su interpretación directa sea difícil sin dichas herramientas.

Aun así, dado que contiene información personal, tratamos el incidente con la máxima seriedad y les informamos que los datos contenidos en las mismas incluyen:

– Para todos los usuarios: número de DNI, nombre, apellidos y cuenta bancaria.

– Solo para aquellos que lo facilitaron: dirección postal, correo electrónico, año de nacimiento y teléfono.

– Información contable de los programas gestionados.

No se han visto afectadas contraseñas en caso de haberlas ni datos de tarjetas de crédito.

¿Qué riesgos existen? El robo de este tipo de información puede suponer riesgos como:

• Intentos de suplantación de identidad.

• Intentos de fraude o estafas.

• Comunicaciones falsas haciéndose pasar por nuestra empresa u otras entidades.

Aunque no tenemos constancia de un uso indebido, es importante que mantenga una vigilancia activa. Para ello, le recomendamos:

• No facilitar códigos, contraseñas ni datos personales por teléfono, SMS o correo. Lo bancos nunca solicitan contraseñas de acceso.

• Sospechar de mensajes que mencionen su DNI o le pidan verificar identidades.

• Activar alertas en sus servicios bancarios o cuentas online.

• Revisar periódicamente movimientos o actividades inusuales.

¿Qué estamos haciendo nosotros? Para proteger sus datos y evitar incidentes futuros, hemos tomado las siguientes medidas:

• Aislamiento inmediato del sistema comprometido.

• Refuerzo de las medidas técnicas de seguridad mediante doble factor de verificación.

• Revisión y auditoría de accesos y registros.

• Notificación del incidente a la Agencia Española de Protección de Datos (AEPD) y a las autoridades competentes.

• Implementación de controles adicionales para prevenir futuras brechas.

• Análisis de riesgos y aviso personalizado a usuarios con mayor cantidad de información afectada.

La ciberdelincuencia es un delito cada vez más común y sofisticado que afecta a organizaciones e individuos y por ello pedimos vuestra colaboración: mantenga sus contraseñas seguras, desconfíe de mensajes sospechosos y comuníquenos cualquier actividad extraña a través del correo protecciondedatos@fuam.es.