Boletín Oficial de las Cortes de Aragón
PROCEDIMIENTOS DE CONTROL E IMPULSO - Preguntas - Para respuesta escrita - Respuestas
Respuesta escrita de la Consejera de Educación, Cultura y Deporte a la Pregunta núm. 1280/25, relativa a la filtración de datos personales tras el hackeo de la aplicación SIGPEAC (BOCA 153, de 8 de agosto de 2025).
Boletín Oficial de las Cortes de Aragón n°:165 (XI Legislatura)
En el año 2020 se firmó un encargo de ejecución con Aragonesa de Servicios Telemáticos (AST) para el desarrollo e implantación de una nueva aplicación Sistema Integral de Gestión de los Procedimientos de Evaluación y Acreditación de Competencias profesionales (SIGPEAC) adquiridas por la experiencia laboral o vías no formales de formación.
Esta aplicación proporciona al Departamento de Educación, Cultura y Deporte una herramienta de gestión integral tanto de las convocatorias del procedimiento de evaluación y acreditación de competencias profesionales (PEAC) como del catálogo de cualificaciones profesionales.
Desde el año 2020, y de forma anual hasta la actualidad, se han ido firmando encargos de ejecución con AST para realizar mejoras y modificaciones de la aplicación, que se encuentra alojada en los servidores de AST.
De acuerdo con el informe emitido el día 1 de agosto por la empresa responsable de la elaboración y modificación de la aplicación, los datos de relevancia a los que se han podido acceder son:
| Datos básicos de candidatos (NIF, nombres, apellidos, emails, teléfonos) | 10706 |
| Datos básicos de colaboradores (NIF, nombres, apellidos, emails, teléfonos) | 2172 |
| Código CSV del Gestor Documental de resoluciones de pago | 15 |
| Informe de vida laboral | 5 |
| Número de afiliación a la SS obtenido del informe de vida laboral | 5 |
De acuerdo con el informe emitido por AST el día 1 de agosto, las medidas adoptadas de forma inmediata tras el ataque fueron las siguientes:
— Se procedió a realizar las notificaciones correspondientes de la brecha al Centro Criptológico Nacional (CCN), a la Agencia Española de Protección de Datos (AEPD), y a los usuarios afectados. Además, se interpone la denuncia en la Policía Nacional.
— Se procedió al bloqueo del origen de las comunicaciones desde donde estaba realizando el atacante las conexiones.
— El proveedor ha desplegado un parche en la aplicación para solucionar el problema origen.
— La Oficina Técnica de Seguridad (OTS), lleva a cabo una auditoría de seguridad en el entorno de PRE identificando las fallas de seguridad encontradas en la aplicación auditada.
— Se realiza análisis forense en las máquinas mov-wdofm-21.aragon.local y mov-wdofm-22.aragon.local a raíz del compromiso de credenciales y elevación de privilegios en la aplicación SIGPEAC para descartar movimientos laterales desde la aplicación a las máquinas mencionadas.
Para evitar nuevos ataques y proteger la aplicación y los datos contenidos en ella, y de acuerdo con el informe emitido, AST ha adoptado las siguientes medidas:
— Se ha limitado el login para usuarios administradores a login mediante Cl@ve o certificado electrónico (login mediante MFE), tanto en el front, como en la API.
— Mejora de los controles de seguridad, tanto en la API como en el código.
— Organización de reuniones y controles periódicos de ciberseguridad para concienciar a todos los usuarios, desarrolladores y otros involucrados en las distintas aplicaciones, dirigidas desde AST.
— Revisión del resto de las aplicaciones de AMDL1 que pudieran estar afectadas por la misma vulnerabilidad.
Zaragoza, 24 de septiembre de 2025.
La Consejera de Educación, Cultura y Deporte
TOMASA HERNÁNDEZ MARTÍN