La semana pasada, la Comunidad de Madrid dejó expuestos multitud de datos personales de millones de madrileños. Con sólo introducir un DNI, era posible obtener información como el número de teléfono, nombre completo, y dirección física. Ahora, un fallo similar ha afectado al Departament de Salut de la Generalitat de Catalunya.
El fallo de seguridad ha dejado a la vista el nombre, DNI y toda la información referente a la vacuna y a la cita de cada ciudadano de Cataluña. El fallo de seguridad ha sido cerrado este fin de semana, y en principio no ha comprometido ninguna información clínica al estar sólo disponibles ahí los datos de vacunación. Además, no tienen evidencia de que los datos se hayan filtrado o hayan sido indexados por algún atacante.
El fallo fue solucionado este fin de semana
El grupo de hackers éticos que ha descubierto este fallo se llama «Team Rocket«, e informaron de ello de la Generalitat y otros organismos de ciberseguridad estatales. El grupo hizo una prueba de solicitud masiva para llamar la atención del departamento técnico, y parece ser que funcionó, ya que afirma que detectaron que la web de autocita para la vacuna detectó un «número de peticiones de información fuera de lo habitual».
Esta web, debido a su sensibilidad, recibe una monitorización continua de este tipo de actividad, e identificaron rápidamente solicitudes de acceso fuera del flujo definido normal. Los hackers han confirmado que fueron ellos quienes hicieron estas pruebas, y por ello también afirman desde la Generalitat que no ha habido ningún acceso masivo indebido. No obstante, los datos han estado expuestos, y puede que se haya accedido puntualmente a la información de alguna persona concreta.
Tercer fallo de gestión de datos en dos meses
Este fallo es el tercero de este tipo que conocemos en las últimas semanas, después de los dos que sufrió la Comunidad de Madrid en el portal del certificado COVID, así como en el sistema de autocita para la vacuna. En este último quedaron expuestos más datos, ya que se incluía el teléfono o la fecha de nacimiento.
Sin embargo, el más grave hasta la fecha es el que sufrió la web para obtener el certificado COVID, ya que, con sólo cambiar el DNI en la URL, era posible obtener datos personales como nombre, teléfono, dirección y fecha de nacimiento, permitiendo acceder por ejemplo a datos de personas residentes en la Comunidad de Madrid como el Rey Felipe VI o el presidente Pedro Sánchez.
La Agencia Española de Protección de Datos (AEPD) se encuentra actualmente investigando las filtraciones de datos, así como si será conveniente multar por estos fallos de seguridad. En el caso de la web del certificado COVID en Madrid, la Comunidad pagó 225.000 euros a Indra para su desarrollo.