Un simple fallo de seguridad puede acarrera severos problemas. El que se cuiden las infraestructuras electrónicas de Internet es vital para que los datos de millones de personas no corran peligro alguno. Ahora ha vuelto a pasar; tal y como denuncia Facua, la asociación de consumidores, los datos de millones de visitantes de la Alhambra han quedado expuestos.

Datos de millones de personas expuestos por un fallo en una web

El fallo que fue expuesto por El Confidencial ha desembocado en un desastre a nivel de seguridad: los datos de 4.5 millones de personas visitantes de la Alhambra de Granada. No se libran tampoco las agencias de viajes; los datos de aproximadamente 1000 agencias también han quedado expuestos.

La asociación ya ha denunciado este caso al Patronato de la Alhambra y Generalife ante la Agencia Española de Protección de Datos (AEPD). La información expuesta se compone principalmente de números de cuentas corrientes, DNIs, teléfonos, nombres y apellidos, contraseñas, etcétera. La filtración, por lo tanto, es especialmente grave ya que involucra directamente datos personales de importante calado.

seguridad

El fallo proviende de la web tickets.alhambra-patronato.es, del Patronato de la Alhambra y Generalife que es la página web oficial adscrita a la Junta de Andalucía. Esta gestiona el 100 por cien de la reserva y venta de entradas a la Alhambra de Granada. El fallo que ha dejado a esta cantidad de datos expuesta ha sido denunciado por el grupo de hackers La9, ligado a Anonymous. El fallo aquejaba a la página desde el año 2017.

Teknautas, por su parte, ha verificado y confirmado el fallo que hacía la web vulnerable a tres modalidades diferentes de inyecciones SQL. Gracias a esta vulnerabilidad es posible acceder a los datos almacenados en servidores web añadiendo código malicioso. Facua basa su denuncia recordando la normativa europea vigente (Reglamento UE 2016/679, artículo 6): el tratamiento de los datos personales sólo puede darse si el interesado ha dado su consentimiento explícito para hacerlo, o si es necesario para ejecutar el contrato, para cumplir alguna obligación legal, proteger los intereses vitales del interesado o de otra persona, o por interés público, tal y como explica la misma asociación.

El Confidencial contactó con la empresa Hiberus Tecnología, proveedora tecnológica del Patronato. Esta firma cerró un trato con la Junta de Andalucía para mantener el sistema online de venta y reserva de entradas junto a la empresa Sicomoro Servicios Integrales, filial de Hiberus. Ante el conocimiento del fallo, el portavoz de Sicomoro dijo a Teknautas “que a fecha de hoy cualquier incidente que haya podido ocurrir está resuelto y correctamente gestionado”. 

Tras esto, el fallo en la web de Alhambra ha sido solucionado, pero no así en las webs de otros clientes de Hiberus. Se estima que webs de museos de varias Comunidades Autónomas y otras webs de venta de entradas a eventos están afectadas, presentando exactamente la misma vulnerabilidad. Como hemos dicho, además de la severa e ingente cantidad de datos íntimos expuestos, los datos de 1000 agencias de viajes de todo el mundo que han colaborado con este asunto han visto sus datos expuestos también.

seguridad

Al estar la página web desactualizada, era más fácil acceder al fallo. Este mismo software, pero actualizado, es el mismo que usan museos como el Thyssen o el Museo del Prado, y además con las medidas de seguridad pertinentes aplicadas.

De hecho, tal y como informan en Teknautas, esto es especialmente grave ya que la técnica con la que se podrían obtener esos datos es muy antigua y usada, siendo “de primero de hacking”. Las empresas modernas han adaptado sus webs para evitar que este problema pueda afectarles desde hace años, pero gestionando millones de registros y gestionando una plataforma de venta de tickets, esto no debería ser posible.

Facua indica que el Patronato, al conocer la irregularidad, debería haber informado a la AEPD y a todos los usuarios afectados del problema. Así lo indica el reglamento de la UE en el art. 33: a más tardar 72 horas después de que haya tenido constancia de ella, a menos de que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas“.

Imagen de portada | Willian Justen de Vasconcellos en Unsplash

Noticias relacionadas