Una brecha de seguridad de la sanidad madrileña deja al descubierto datos privados de miles de ciudadanos
- Simplemente con el número del DNI se podía acceder a datos privados como números de teléfono o de la Seguridad Social
- Se podía acceder a los datos al menos hasta la tarde de este miércoles 7 de julio
Una grave brecha de ciberseguridad ha dejado al descubierto datos privados de miles y miles de madrileños, información que ha estado disponible para cualquier usuario con ligeros conocimientos de programación informática. Hablamos de datos alojados en portales sanitarios de la Comunidad de Madrid, como el servidor destinado a gestionar la Autocita de vacunación contra la Covid, que podían quedar a disposición de cualquier persona experta en informática, tal y como ha podido comprobar Telemadrid. Entre los datos que han quedado expuestos, los del rey Felipe VI o los del presidente del Gobierno, Pedro Sánchez, ambos residentes en Madrid. Telemadrid ya ha denunciado los hechos a la Guardia Civil y a la Policía Nacional.
Para acceder a esos datos valía con disponer de algún programa proxy, algunos de los cuales son gratuitos y de fácil descarga a través de Internet. Se trata de un software que analiza todo lo que ocurre en tu ordenador, las páginas web que visitas y los servicios que estás utilizando. El uso de proxys es muy común principalmente para programadores informáticos, pero también para los ciberdelincuentes, que pueden aprovechar cualquier grieta de seguridad para conseguir datos que, en principio, no deberían ser vistos.
Con un software de este tipo, que como decimos son de acceso libre y no requieren ningún certificado de identificación o ningún código de acceso, se puede rastrear páginas como la Autocita para vacunarse en Madrid u otros servicios de la sanidad pública madrileña. Normalmente, cuando se usa un proxy en páginas de este tipo los datos privados de los ciudadanos no están visibles, pero no ha ocurrido así con algunas webs sanitarias clave del Gobierno regional madrileño.
Así, simplemente con meter un DNI aleatorio se podía obtener mucha información de cualquier ciudadano residente en Madrid. Hablamos de datos como el nombre y apellidos, su número de teléfono, su número de la Seguridad Social o las direcciones en las que ha vivido en la región.
También es reconocible un identificador interno que queda expuesto y se refiere a la Autocita. Con esa id se pueden obtener datos como dónde y a qué hora se ha vacunado una persona o qué vacuna ha recibido. Se puede saber incluso el brazo donde ha recibido la dosis y el nombre del sanitario que se la ha administrado.
Toda información ha estado, como decimos, accesible al menos hasta este miércoles 7 de julio por la tarde. En los datos que proporciona el proxy que usemos, se puede comprobar como Indra es el desarrollador de estas páginas. Expertos informáticos consultados por Telemadrid apuntan que "a estas empresas se les pide unos requisitos muy grandes en estas licitaciones públicas", pero en este caso no han cumplido con los mínimos de seguridad que cualquier página de este tipo debe tener. Un error de programación "muy malo".
El error de ciberseguridad de Madrid desvela desde los datos de tu vecino a los del rey Felipe VI o Pedro Sánchez
Ya ElDiario.es informó el pasado 10 de junio de una brecha de seguridad distinta en el sistema de Autocita que, en principio, la Consejería de Sanidad había solucionado. De hecho, fuentes del Gobierno regional indicaron al citado medio que ningún "actor malicioso" había accedido a los datos de los madrileños. "Si hubiera actuado un actor malicioso, nuestro SOC (Centro de operaciones de ciberseguridad) que monitoriza nuestros sistemas de información ininterrumpidamente, lo hubiera detectado", añadían.
Telemadrid ha detectado este nuevo fallo de seguridad del que se puede beneficiar cualquier ciberdelincuente con las habilidades justas para hacerse con millones de datos de los ciudadanos de Madrid. Tras comprobar esta incidencia, Telemadrid ha informado sobre ella a la Consejería de Sanidad, a la Guardia Civil y a la Policía Nacional.
Fuentes de la Consejería de Sanidad han reconocido a Telemadrid que este miércoles se detectó "una vulnerabilidad de seguridad en la funcionalidad del portal del ciudadano para la obtención del certificado Covid, que afectaba a un enlace que no es de dominio público". "Esta incidencia -añaden- ha venido ocasionada por la subida de una actualización que pasó los protocolos de pruebas y que en el proceso de puesta en marcha generó una brecha que ha quedado solventada en horas tras ser detectada por los servicios de calidad".
"Es falso que cualquier ciudadano pueda meterse en páginas web de la Consejería de Sanidad de la Comunidad de Madrid para obtener el certificado Covid y que se pueda acceder a información confidencial como datos clínicos del rey, del presidente del Gobierno o de otros expresidentes", indican también.
Concluyen que "en cualquier caso la incidencia no afectaba a datos clínicos y, por supuesto, no comprometía la alteración alguna de información en las bases de datos. "Además, para acceder a esa información se necesitaría el DNI de la persona en cuestión. Insistimos en que ya está bloqueada esa brecha", sentencian.
