Conecta con nosotros

Noticias

Fallo en sistemas de la Consejería de Sanidad de la Comunidad de Madrid deja expuestos datos de miles de personas

Publicado el

Fallo en sistemas de la Consejería de Sanidad de la Comunidad de Madrid deja expuestos datos de miles de personas

Un fallo en los sistemas de la Consejería de Sanidad de la Comunidad de Madrid ha dejado al descubierto los datos de varias decenas de miles de personas. Son datos privados, entre los que están nombres, apellidos, números de teléfono, direcciones actuales y pasadas, número de la Seguridad Social y DNIs, de personas residentes en Madrid. Entre ellos, los de Felipe VI, Pedro Sánchez, Jose María Aznar o Pablo Casado. Telemadrid, que ha hecho público el incidente de ciberseguridad, ha denunciado los hechos ante la Policía Nacional y la Guardia Civil, además de avisar a la propia consejería.

La información que había quedado al descubierto está almacenada en el servidor en el que se aloja el sistema que se utiliza para la autocita para la vacunación contra el COVID-19. Por eso, además de a los datos personales de los residentes en Madrid afectados, también se podía acceder a información relacionada con la vacunación, como la fecha y hora en la que se les administró la vacuna, dónde se les vacunó o incluso el número de lote al que pertenecían las dosis recibidas.

Eso sí, acceder a la información no resultaba sencilla para un ciudadano con conocimientos de informática a nivel de usuario, pero sí lo era para los que cuentan con ciertas nociones de programación. Basta con utilizar un enlace público, que debería ser privado, y un proxy para, con introducir un número de DNI al azar en el sistema, acceder al sistema. Y ya dentro, a una buena cantidad de datos personales y sobre la vacuna, a partir del identificador de autocita, de residentes en Madrid. Para obtenerlos, de la misma manera que para entrar, basta conocer los DNIs de quienes se quiera conseguir datos. La información ha estado accesible hasta la tarde de ayer día 7 de julio, cuando Telemadrid comunicó la existencia de la brecha de seguridad.

Al parecer, las páginas y sistemas afectados por el fallo de seguridad no se han desarrollado internamente en la Comunidad de Madrid por parte de funcionarios públicos, sino que lo ha hecho una empresa externa, a la que se externalizó su desarrollo. De hecho, al utilizar el proxy para acceder a la información personal expuesta, entre los datos que se recopilan se puede acceder al nombre de la empresa que ha desarrollado el sistema: Indra.

oda información ha estado, como decimos, accesible al menos hasta este miércoles 7 de julio por la tarde. En los datos que proporciona el proxy que usemos, se puede comprobar como Indra es el desarrollador de estas páginas. Expertos informáticos consultados por Telemadrid apuntan que «a estas empresas se les pide unos requisitos muy grandes en estas licitaciones públicas», pero en este caso no han cumplido con los mínimos de seguridad que cualquier página de este tipo debe tener. Un error de programación «muy malo».

En este tipo de licitaciones, que implica el desarrollo de webs oficiales para gobiernos, los encargados de hacerlo tienen que tener en cuenta que sus desarrollos deben cumplir unos requisitos de seguridad muy elevados. Pero en este caso no se han cumplido ni siquiera los más básicos en cuanto a ciberseguridad.

Redactora de tecnología con más de 15 años de experiencia, salté del papel a la Red y ya no me muevo de ella. Inquieta y curiosa por naturaleza, siempre estoy al día de lo que pasa en el sector.

Lo más leído