El portal de la Comunidad de Madrid para conseguir el certificado digital Covid permitía a cualquier usuario acceder a datos personales de miles de ciudadanos debido a un fallo de seguridad.
El error dejaba introducir el DNI de cualquier persona, entre ellos el del rey Felipe VI, el de Pedro Sánchez o el de Pablo Casado, y conseguir sus datos personales, como la dirección o los números de teléfono.
Según ha podido saber EL ESPAÑOL de fuentes de la Consejería de Sanidad el enlace "no es de acceso público" sino que "se ha generado a través de un acceso indebido".
Además, estas mismas fuentes señalan que esta brecha de seguridad "ya ha sido bloqueda" y que para poder acceder a los datos de una persona concreta sería necesario "introducir el DNI de la persona en cuestión".
La Consejería ha confirmado el fallo pero ha incidido en que no han quedado al descubierto datos personales de miles de madrileños
La Consejería señala que "se detectó una vulnerabilidad de seguridad en la funcionalidad del portal del ciudadano para la obtención del certificado Covid". Y alega que "esta incidencia ha venido ocasionada por la subida de una actualización que pasó los protocolos de pruebas y que en el proceso de puesta en marcha generó una brecha que ha quedado solventada en horas tras ser detectada por los servicios de calidad".
Por otra parte, estas mismas fuentes remarcan a este periódico que "en cualquier caso la incidencia no afectaba a datos clínicos y por supuesto no comprometía la alteración alguna de información en las bases de datos". E insisten en que "para acceder a esa información se necesitaría el DNI de la persona en cuestión".
Sin embargo, la información ha estado al alcance de cualquier usuario con ligeros conocimientos de programación informática, tal y como recuerda Telemadrid, medio que ha adelantado la noticia. Según informa la cadena pública madrileña, se trata de datos alojados en portales como el servidor que gestiona la autocita de vacunación contra la Covid, que podían estar a disposición de cualquier persona.
Es "falso que cualquier ciudadano" pueda meterse en páginas web de la Consejería de Sanidad de la Comunidad de Madrid para obtener el certificado COVID y que se pueda acceder a información confidencial como datos clínicos del Rey, del presidente del Gobierno o de otros expresidentes, han asegurado fuentes de este departamento del gobierno regional, que además en su cuenta de Twitter ha tachado de bulo la información de la cadena televisiva.
Para acceder a esos datos bastaba con disponer de algún programa proxy, algunos de los cuales son gratuitos y de fácil descarga a través de Internet. Con este software se pueden rastrear páginas como la autocita para vacunarse en Madrid u otros servicios de la sanidad pública madrileña.
Habitualmente, cuando se usa un proxy en páginas de este tipo no se ven los datos privados de los ciudadanos, pero no ha ocurrido así con algunas webs sanitarias clave del Gobierno regional madrileño.
Desde la cadena pública madrileña señalan que con meter un DNI aleatorio se podía obtener mucha información de cualquier ciudadano residente en la Comunidad: el nombre y apellidos, su número de teléfono, su número de la Seguridad Social o las direcciones en las que ha vivido en la región.
Esto es especialmente grave teniendo en cuenta que entre los datos filtrados estaban los del Rey de España, el presidente del Gobierno y el líder de la oposición.
Toda la información ha estado accesible al menos hasta este martes 7 de julio por la tarde. Aunque desde la Consejería de Sanidad de la Comunidad de Madrid reiteran que "ya está bloqueado" el acceso. Por lo que entienden que el problema ya está solucionado.
Además de hacer pública la información en su página web, Telemadrid ha denunciado los hechos ante la Guardia Civil y la Policía Nacional.