Un fallo de seguridad de la Consejería de Sanidad de la Comunidad de Madrid deja expuestos datos personales de unos 100.000 madrileños

Un fallo de seguridad de la Consejería de Sanidad ha dejado expuestos durante un tiempo indeterminado datos personales y sanitarios de unos 100.000 madrileños, según una información adelantada por la cadena autonómica Telemadrid, que asegura que, al menos hasta mitad de la tarde del miércoles, era accesible. Entre esa información, figuraba la del Rey, el presidente del Gobierno, Pedro Sánchez, el expresidente José María Aznar o el líder de la oposición, Pablo Casado, todos residentes en Madrid.

Al entrar en un enlace aparentemente no encriptado de la web de Sanidad, y si se disponía de un programa proxy —un software que analiza lo que está ocurriendo en el ordenador, las webs que se visitan y los servicios que se están usando—, bastaba introducir el DNI de la persona para poder ver información personal como número de teléfono, domicilio, dónde se había recibido la vacuna de la Covid-19, si se había hecho, cuándo, con qué dosis, en qué brazo o quién les vacunó. “Hablamos de datos alojados en portales sanitarios de la Comunidad de Madrid, como el servidor destinado a gestionar la autocita de vacunación contra la Covid, que podían quedar a disposición de cualquier persona”, señala la información de Telemadrid.

Desde la Consejería de Sanidad envían una respuesta escrita en la que explican que este miércoles han detectado “una vulnerabilidad de seguridad en la funcionalidad del portal del ciudadano para la obtención del certificado Covid” y que “esa brecha ya está bloqueada”. Esa incidencia, según la Comunidad, “ha venido ocasionada por la subida de una actualización que pasó los protocolos de pruebas y que en el proceso de puesta en marcha generó una brecha que ha quedado solventada en horas tras ser detectada por los servicios de calidad”. En cualquier caso, dice la contestación de la consejería, “la incidencia no afectaba a datos clínicos y por supuesto no comprometía la alteración alguna de información en las bases de datos”. Además, añaden, “para acceder a esa información se necesitaría el DNI de la persona en cuestión”.

En una ampliación de esa respuesta, la Comunidad insiste en que “es falso que cualquier ciudadano pueda meterse en páginas web de la Consejería de Sanidad de la Comunidad de Madrid para obtener el certificado Covid y que se pueda acceder a información confidencial como datos clínicos del Rey, del presidente del Gobierno o de otros expresidentes”.

Durante el informativo, sin embargo, la cadena ha explicado que han accedido para hacer comprobaciones, apuntando a lo “fácil” que es conseguir el número de documento de identidad en la web. Y, si se dispone de los conocimientos adecuados para descargar un proxy (los hay gratuitos en la web), el acceso a esa información no era muy complicado. Así, según han contado, han podido ver número de teléfono, dosis y brazo en el que fue vacunado el Rey, por ejemplo, el sábado 29 de mayo. Igual con el presidente del Gobierno, Pedro Sánchez, que fue inmunizado el 28 de junio en el hospital Puerta de Hierro. Y también los datos de la ministra de Igualdad, Irene Montero o el exvicepresidente del Gobierno, Pablo Iglesias.

Los ciudadanos afectados pueden denunciarlo ante la Agencia Española de Protección de Datos, aunque dado el volumen de afectados, lo más probable es que la propia Agencia inicie un procedimiento para esclarecer lo que ha ocurrido.

Fuente: El País

Por | 2021-07-08T12:43:42+00:00 8 de julio de 2021 | 12:43 pm |Seguridad informática|Sin comentarios