Un fallo de seguridad de la Consejería de Sanidad de Madrid deja expuestos datos personales del Rey, Pedro Sánchez y otros cargos
La Comunidad afirma que “ya ha sido bloqueado” el acceso que, según Telemadrid, provocó que durante un periodo indeterminado de tiempo quedara accesible información sobre 100.000 madrileños
Un fallo de seguridad de la Consejería de Sanidad ha dejado expuestos durante un tiempo indeterminado datos personales y sanitarios de unos 100.000 madrileños, según una información adelantada por la cadena autonómica Telemadrid, que asegura que, al menos hasta mitad de la tarde de este miércoles, era accesible. Entre esa información, figuraba la del Rey, el presidente del Gobierno, Pedro Sánchez, el expresidente José María Aznar o el líder de la oposición, Pablo Casado, todos residentes en Madrid.
Al entrar en un enlace aparentemente no encriptado de la web de Sanidad, y si se disponía de un programa proxy —un software que analiza lo que está ocurriendo en el ordenador, las webs que se visitan y los servicios que se están usando—, bastaba introducir el DNI de la persona para poder ver información personal como número de teléfono, domicilio, dónde se había recibido la vacuna de la covid-19, si se había hecho, cuándo, con qué dosis, en qué brazo o quién les vacunó. “Hablamos de datos alojados en portales sanitarios de la Comunidad de Madrid, como el servidor destinado a gestionar la autocita de vacunación contra la covid, que podían quedar a disposición de cualquier persona”, señala la información de Telemadrid.
Desde la Consejería de Sanidad envían una respuesta escrita en la que explican que este miércoles han detectado “una vulnerabilidad de seguridad en la funcionalidad del portal del ciudadano para la obtención del certificado covid” y que “esa brecha ya está bloqueada”. Esa incidencia, según la Comunidad, “ha venido ocasionada por la subida de una actualización que pasó los protocolos de pruebas y que en el proceso de puesta en marcha generó una brecha que ha quedado solventada en horas tras ser detectada por los servicios de calidad”. En cualquier caso, dice la contestación de la consejería, “la incidencia no afectaba a datos clínicos y por supuesto no comprometía la alteración alguna de información en las bases de datos”. Además, añaden, “para acceder a esa información se necesitaría el dni de la persona en cuestión”.
En una ampliación de esa respuesta, la Comunidad insiste en que “es falso que cualquier ciudadano pueda meterse en páginas web de la Consejería de Sanidad de la Comunidad de Madrid para obtener el certificado COVID y que se pueda acceder a información confidencial como datos clínicos del Rey, del presidente del Gobierno o de otros expresidentes”.
Durante el informativo, sin embargo, la cadena ha explicado que han accedido para hacer comprobaciones, apuntando a lo “fácil” que es conseguir el número de documento de identidad en la web. Y, si de dispone de los conocimientos adecuados para descargar un proxy (los hay gratuitos en la web), el acceso a esa información no era muy complicado. Así, han contado, han podido ver número de teléfono, dosis y brazo en el que fue vacunado el Rey, por ejemplo, el sábado 29 de mayo. Igual con el presidente del Gobierno, Pedro Sánchez, que fue inmunizado el 28 de junio en el hospital Puerta de Hierro. Y también los datos de la ministra de Igualdad, Irene Montero o el exvicepresidente del Gobierno, Pablo Iglesias.
Samuel Parra, jurista especializado en protección de datos, explica que tras cerrar la brecha, “que es lo más inmediato que ha de hacerse”, la Administración en cuestión, en este caso la Consejería de Sanidad, debe hacer “una comunicación al Incibe”, el Instituto Nacional de Ciberseguridad de España. “Además, como es información sensible, debe comunicar a los afectados, de forma individual, la existencia de esa brecha y qué información se ha filtrado”, añade. Y también, suma, la Comunidad tiene que ponerlo en conocimiento de la Agencia Española de Protección de Datos: “Ya sea por un ataque o por mala configuración del propio sistema”.
Al ser, tal y como explica la Comunidad, una mala configuración, “puede haber medidas disciplinarias contra la administración, que tiene la obligación de proteger los datos para evitar accesos inadecuados por terceros no autorizados”. Los ciudadanos afectados, ¿qué pueden hacer? “La gente puede denunciarlo ante la Agencia española de Protección de Datos”, dice el jurista. Aunque añade que, “viendo el volumen de afectados, lo más probable es que la propia agencia inicie un procedimiento para esclarecer lo que ha ocurrido, si desde un punto de vista administrativo se ha vulnerado la normativa porque las medidas no eran adecuadas o no se establecieron los protocolos legales exigibles para proteger la información”.
Si quisieran, añade Parra, “pueden ir un paso más allá”: “Si la persona considera que ha sufrido un pequeño daño moral o tiene desasosiego porque sus datos han sido expuestos, pueden reclamar responsabilidad patrimonial”. Es decir, una compensación económica a la Administración.
Suscríbete aquí a nuestra nueva newsletter sobre Madrid.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.