Telemadrid denuncia que un fallo de seguridad de la Sanidad madrileña deja expuestos datos de usuarios
Se habrían filtrado datos del presidente Pedro Sánchez y el Rey Felipe VI, algo que el Gobierno niega. Telemadrid lo ha detectado y denunciado, y el acceso ya está bloqueado
Qué es el CIPA y cómo saber su número
Telemadrid ha comprobado y denunciado la existencia de una grave brecha de seguridad que ha dejado al descubierto «datos privados de miles y miles de madrileños» , entre ellos, los de dos residentes en Madrid como el Rey Felipe VI y el presidente del Gobierno Pedro Sánchez. Según ha informado la cadena, en exclusiva, «cualquier usuario con ligeros conocimientos de programación informática» podría haber accedido a esa información. Fuentes de la Consejería de Sanidad aseguraron a ABC que «ese enlace no es de acceso público. Se ha generado a través de un acceso indebido, y ya está bloqueado». Desde la cuenta oficial del Gobierno regional se desmentía la noticia.
De acuerdo con la información de Telemadrid , el fallo de ciberseguridad permitía acceder a datos alojados en portales sanitarios de la Comunidad de Madrid como el servidor destinado a gestionar la Autocita de vacunación contra la Covid , que podían quedar a disposición de cualquier persona mediante el número de DNI, como comprobaron desde la redacción de la cadena pública de televisión. Telemadrid denunció los hechos ante la Guardia Civil y a la Policía Nacional.
La versión de la Consejería de Sanidad, sin embargo, señala que «hoy se detectó una vulnerabilidad de seguridad en la funcionalidad del portal del ciudadano para la obtención del certificado Covid. Esta incidencia ha venido ocasionada por la subida de una actualización que pasó los protocolos de pruebas y que en el proceso de puesta en marcha genero una brecha que ha quedado solventada en horas tras ser detectada por los servicios de calidad ».
En cualquier caso, insisten, «la incidencia no afectaba a datos clínicos y por supuesto no comprometía la alteración alguna de información en las bases de datos. Además para acceder a esa información se necesitaría el DNI de la persona en cuestión. Insistimos en qué ya está bloqueada esa brecha».
Niega taxativamente que «cualquier ciudadano pueda meterse en páginas webs de la Consejería de Sanidad para obtener el certificado Covid y que se pueda acceder a información confidencial como datos clínicos del Rey, del presidente del Gobierno o de otros expresidentes».
Por su parte, desde la cuenta oficial de Twitter de la Comunidad de Madrid se desmentía la información.
🔴 #STOPBULOS 🔴
— Comunidad de Madrid (@ComunidadMadrid) July 7, 2021
❌ Esto es falso.https://t.co/1KMbNos4wV
Para acceder a esos datos, explicaban en la información de Telemadrid, «valía con disponer de algún programa proxy , algunos de los cuales son gratuitos y de fácil descarga a través de Internet. Se trata de un software que analiza todo lo que ocurre en tu ordenador, las páginas web que visitas y los servicios que estás utilizando. El uso de proxys es muy común principalmente para programadores informáticos, pero también para los ciberdelincuentes».
Grieta de seguridad
Mediante esta vía, y por una grieta de seguridad, «se puede rastrear páginas como la Autocita para vacunarse en Madrid u otros servicios de la sanidad pública madrileña. Normalmente, cuando se usa un proxy en páginas de este tipo los datos privados de los ciudadanos no están visibles, pero no ha ocurrido así con algunas webs sanitarias clave del Gobierno regional madrileño».
Así, «simplemente con meter un DNI aleatorio se podía obtener mucha información de cualquier ciudadano residente en Madrid», como su «nombre y apellidos, su número de teléfono, su número de la Seguridad Social o las direcciones en las que ha vivido en la región», y también dónde y cuándo han vacunado a alguien, y en qué brazo.
Telemadrid asegura que ha tenido conocimiento de este fallo de seguridad «tras una denuncia anónima que quiere alertar sobre este problema del que se puede beneficiar cualquier ciberdelincuente con las habilidades justas para hacerse con millones de datos de los ciudadanos de Madrid». Tras comprobar esta incidencia, Telemadrid ha informado sobre ella a la Consejería de Sanidad, a la Guardia Civil y a la Policía Nacional.
Noticias relacionadas
