Noticias y Novedades

UN FALLO INFORMÁTICO DEJA AL DESCUBIERTO DATOS SENSIBLES DE VACUNADOS EN MADRID COMO EL REY Y PEDRO SANCHEZ

La base de datos de la vacunación en la Comunidad de Madrid ha estado durante horas abierta en la red y con acceso público debido a una brecha digital de ciberseguridad, según ha adelantado en exclusiva Telemadrid. El fallo informático ha permitido acceder a datos sensibles de las personas inmunizadas frente al coronavirus -como su dirección y su teléfono móvil- junto a los sanitarios sólo con introducir su DNI. Debido a esta incidencia ya solucionada han quedado al aire datos tanto de ciudadanos anónimos como de personalidades como el Rey, el presidente del Gobierno, Pedro Sánchez, y el ex presidente José María Aznar. Algunos de los documentos de identidad son fáciles de conseguir mediante una búsqueda en Google. En la Consejería de Sanidad de Madrid indican que se ha detectado «una vulnerabilidad en la funcionalidad del portal del ciudadano para la obtención del certificado Covid». «Ha venido ocasionada por la subida de una actualización que pasó los protocolos de prueba y que en el proceso de puesta en marcha generó una brecha que ha quedado solventada en horas por los servicios de calidad», explica un portavoz. También indica que «la incidencia no afectaba a datos clínicos y, por supuesto, no comprometía la alteración de información en las bases de datos». Además precisa que «para acceder a esa información se necesitaría el DNI de la persona en cuestión». «Es falso que cualquier ciudadano pueda meterse en páginas web de la Consejería de Sanidad de la Comunidad de Madrid para obtener el certificado Covid y que se pueda acceder a información confidencial», añade este portavoz, que subraya que la incidencia ha afectado a «un enlace que no es de dominio público». Tras tener conocimiento de él a través de una denuncia, Telemadrid ha notificado el fallo al Gobierno regional, que ha procedido a «bloquear esa brecha». Asimismo, el ente público ha puesto los hechos en conocimiento de la Policía Nacional y la Guardia Civil por si se hubiera incurrido en algún delito. Entre los datos que han quedado al descubierto estaban el lugar y hora donde se han vacunado los usuarios y la marca de la dosis que han recibido. También se podía saber incluso el brazo donde le han puesto la inyección y el nombre del sanitario que se la ha administrado.

ACCESO

Para acceder a esos datos solo era necesario disponer de algún programa proxy, algunos de los cuales son gratuitos y de fácil descarga a través de Internet. Se trata de un software que analiza todo lo que ocurre en el ordenador, las páginas web que se visitan y los servicios que se utilizan. Según los expertos consultados por Telemadrid, el uso de proxys es muy común principalmente para programadores informáticos, pero también para los ciberdelincuentes, que pueden aprovechar cualquier grieta de seguridad para conseguir datos que, en principio, no deberían ser vistos. Con un software de este tipo, que es de acceso libre y no requiere ningún certificado de identificación ni código de acceso, se puede rastrear páginas como la de autocita para vacunarse en Madrid u otros servicios de la sanidad pública madrileña. Normalmente, cuando se usa un proxy en páginas de este tipo los datos privados de los ciudadanos no están visibles, pero no ha ocurrido así con algunas webs sanitarias clave del Gobierno regional madrileño. Todos estos datos sensibles han estado abiertos y accesibles en la red hasta la 19.00 horas de este miércoles. Expertos informáticos consultados por Telemadrid han señalado que «a estas empresas se les pide unos requisitos muy grandes en estas licitaciones públicas», pero en este caso no han cumplido con los mínimos de seguridad que cualquier página de este tipo debe tener.   Fuente: elmundo.es https://www.elmundo.es/madrid/2021/07/07/60e5efe6fc6c830f068b4608.html