MENÚ
Medios de comunicación como Telemadrid, eldiario.es, El Economista o El Confidencial han publicado este 7 de julio que un fallo de seguridad ha dejado al descubierto los datos personales de Pedro Sánchez, el rey Felipe VI y José María Aznar junto a los de otros miles de pacientes en la Comunidad de Madrid. Según indican, entre esos datos estarían la dirección, el teléfono fijo y el teléfono móvil.
Aunque en un primer momento el Gobierno regional aseguró que lo publicado por Telemadrid era “falso”, han remitido a Maldita.es una ampliación en la que reconocen que ha habido una “vulnerabilidad de seguridad” que, según ellos, “no afectaba a datos clínicos” y no “comprometía la alteración alguna de información en las bases de datos”. Este medio no ha podido comprobar de forma independiente qué datos ni qué personas se han visto afectadas por dicha “vulnerabilidad de seguridad”.
Indra, empresa que gestiona el sistema que se ha visto afectado en la Comunidad de Madrid, nos remite a las declaraciones realizadas por el Gobierno de Isabel Díaz Ayuso.
¿En qué consistía la “incidencia”?
Según publica Telemadrid, este error podría haber dejado al “descubierto datos privados de miles y miles de madrileños” (entre los que incluyen tanto a Felipe VI como al presidente del Gobierno, Pedro Sánchez). Dentro de estos datos, y según el medio regional, estarían las direcciones, los números de teléfono, el número de la Seguridad Social, pero también los datos de vacunación, a los que se podría acceder “simplemente teniendo el DNI” de esas personas.
Según explica elDiario.es, la vulnerabilidad en el portal sanitario de la Comunidad de Madrid se debió a un fallo informático que se explotaba introduciendo el DNI de una persona en la dirección URL de la página del portal, que automáticamente devolvía los datos en bruto de los afectados. Esto es, un texto con comandos informáticos en los que aparecían las categorías de datos junto al dato en sí (nombre, dirección, etc.).
La Comunidad de Madrid reconoce que ha habido una “vulnerabilidad de seguridad”
En la noche de este 7 de julio, la Comunidad de Madrid ha difundido el artículo de Telemadrid a través de Twitter asegurando que lo que allí se recogía era “falso” e incluyendo el hashtag #StopBulos. Desde Maldita.es hemos pedido más detalles al Gobierno regional y señalan que “es falso que cualquier ciudadano pueda meterse en páginas web de la Consejería de Sanidad de la Comunidad de Madrid para obtener el certificado COVID y que se pueda acceder a información confidencial como datos clínicos del Rey, del presidente del Gobierno o de otros expresidentes”.
También niegan que la incidencia haya afectado “a datos clínicos” o que haya comprometido “la alteración alguna de información en las bases de datos”. “Además, para acceder a esa información se necesitaría el DNI de la persona en cuestión y el certificado digital del usuario”, concluyen.
Lo que sí reconocen es que se ha detectado una “vulnerabilidad de seguridad en la funcionalidad del portal del ciudadano” para la obtención del certificado COVID-19 “que afectaba a un enlace que no es de dominio público”. “Esta incidencia”, aseguran, se debe a “la subida de una actualización que pasó los protocolos de pruebas y que en el proceso de puesta en marcha generó una brecha que ha quedado solventada en horas tras ser detectada por los servicios de calidad”.
El certificado COVID es el documento en el que se especifica si una persona tiene ya la pauta de la vacunación completa; si tiene en su poder una prueba PCR reciente que acredite que es negativo en COVID-19; o que acredita que se ha superado la enfermedad en los seis meses previos. Aquí te damos más detalles al respecto.
Un fallo en el proceso de autenticación de una plataforma como la que aloja este tipo de datos puede deberse a una mala implementación de los tests necesarios para comprobar que todo funciona antes de hacerle cambios: "Cuando tienes una aplicación que accede a información tan sensible hay que extremar las precauciones, por ejemplo haciendo tests que intenten acceder sin estar identificado en el servicio web", explica a Maldita.es Jorge Louzao, uno de nuestros malditos especializados en ciberseguridad que nos ha prestado sus superpoderes.
Con estas pruebas los desarolladores del sistema se aseguran que no haya manera de acceder al sistema suplantando la identidad de una persona, por ejemplo. "Más allá de tests automatizados, servicios tan sensibles deberían pasar una auditoría de seguridad antes de pasar a producción par evitar errores tan gordos y fáciles de detectar", añade.
En el caso de que este fuera el fallo que se pudo explotar en el portal gestionado por Indra para la Comunidad de Madrid, Louzao afirma que "si resulta que esos tests sí están bien implementados y realmente el problema sucedió al pasar la web a producción, entonces el problema lo tienen en que no está bien montado ese entorno de preproducción donde se hacen las pruebas". En conclusión: podría deberse a un fallo fácilmente evitable con un extra de comprobaciones.
Indra nos remite a las declaraciones realizadas por la Comunidad de Madrid
Indra, que gestiona el sistema afectado por esta “incidencia”, nos ha remitido al tuit de la Comunidad de Madrid en el que se tacha de “falso” lo publicado por Telemadrid. Sin embargo, también nos remiten a unas declaraciones que ha realizado la compañía a El Economista, donde reconocen que se ha producido una “incidencia en el programa de autocitas” que se ha cerrado “inmediatamente” y que, según ellos, no ha causado “ninguna repercusión ni incidente relevante ni vulneración de ninguna base de datos personales”.
Telemadrid ha entregado a la Policía Nacional pruebas del fallo de seguridad
Telemadrid ha anunciado este jueves 8 de julio que ha presentado ante la Policía Nacional las pruebas de que el portal de Sanidad de la Comunidad de Madrid presentaba una vulnerabilidad y que los datos personales de ciudadanos y figuras como el rey o el presidente del Gobierno fueron expuestos.
Según explica el medio regional, también tienen previsto acudir a la Fiscalía de Madrid para poner en conocimiento estos hechos.
Protección de Datos ha abierto un expediente de investigación
Este jueves, además, la Agencia Española de Protección de Datos (AEPD) ha abierto un expediente para investigar la vulnerabilidad del sistema informático de la Comunidad de Madrid que alojaba los datos en cuestión, según ha informado elDiario.es y ha podido comprobar Maldita.es. Según la AEPD, han llegado varias reclamaciones denunciando esta brecha, por lo que se ha abierto el correspondiente expediente para analizar la gestión de la Comunidad de Madrid y la empresa Indra en este procedimiento.
Este artículo se ha actualizado este 8 de julio para incluir la apertura de un expediente por parte de la AEPD y valoraciones de un especialista en seguridad. También se actualizará cuando conozcamos más detalles del fallo de seguridad que ha dejado al descubierto datos personales de los ciudadanos de la Comunidad de Madrid.
En este artículo ha colaborado con sus superpoderes el maldito Jorge Louzao, especialista en ciberseguridad.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
