Un fallo de seguridad de la Consejer¨ªa de Sanidad de Madrid deja expuestos datos personales del Rey, Pedro S¨¢nchez y otros cargos

Un fallo de seguridad de la Consejer¨ªa de Sanidad ha dejado expuestos durante un tiempo indeterminado datos personales y sanitarios de unos 100.000 madrile?os, seg¨²n una informaci¨®n adelantada por la cadena auton¨®mica Telemadrid, que asegura que, al menos hasta mitad de la tarde de este mi¨¦rcoles, era accesible. Entre esa informaci¨®n, figuraba la del Rey, el presidente del Gobierno, Pedro S¨¢nchez, el expresidente Jos¨¦ Mar¨ªa Aznar o el l¨ªder de la oposici¨®n, Pablo Casado, todos residentes en Madrid.

Al entrar en un enlace aparentemente no encriptado de la web de Sanidad, y si se dispon¨ªa de un programa proxy ¡ªun software que analiza lo que est¨¢ ocurriendo en el ordenador, las webs que se visitan y los servicios que se est¨¢n usando¡ª, bastaba introducir el DNI de la persona para poder ver informaci¨®n personal como n¨²mero de tel¨¦fono, domicilio, d¨®nde se hab¨ªa recibido la vacuna de la covid-19, si se hab¨ªa hecho, cu¨¢ndo, con qu¨¦ dosis, en qu¨¦ brazo o qui¨¦n les vacun¨®. ¡°Hablamos de datos alojados en portales sanitarios de la Comunidad de Madrid, como el servidor destinado a gestionar la autocita de vacunaci¨®n contra la covid, que pod¨ªan quedar a disposici¨®n de cualquier persona¡±, se?ala la informaci¨®n de Telemadrid.

Desde la Consejer¨ªa de Sanidad env¨ªan una respuesta escrita en la que explican que este mi¨¦rcoles han detectado ¡°una vulnerabilidad de seguridad en la funcionalidad del portal del ciudadano para la obtenci¨®n del certificado covid¡± y que ¡°esa brecha ya est¨¢ bloqueada¡±. Esa incidencia, seg¨²n la Comunidad, ¡°ha venido ocasionada por la subida de una actualizaci¨®n que pas¨® los protocolos de pruebas y que en el proceso de puesta en marcha gener¨® una brecha que ha quedado solventada en horas tras ser detectada por los servicios de calidad¡±. En cualquier caso, dice la contestaci¨®n de la consejer¨ªa, ¡°la incidencia no afectaba a datos cl¨ªnicos y por supuesto no compromet¨ªa la alteraci¨®n alguna de informaci¨®n en las bases de datos¡±. Adem¨¢s, a?aden, ¡°para acceder a esa informaci¨®n se necesitar¨ªa el dni de la persona en cuesti¨®n¡±.

En una ampliaci¨®n de esa respuesta, la Comunidad insiste en que ¡°es falso que cualquier ciudadano pueda meterse en p¨¢ginas web de la Consejer¨ªa de Sanidad de la Comunidad de Madrid para obtener el certificado COVID y que se pueda acceder a informaci¨®n confidencial como datos cl¨ªnicos del Rey, del presidente del Gobierno o de otros expresidentes¡±.

Durante el informativo, sin embargo, la cadena ha explicado que han accedido para hacer comprobaciones, apuntando a lo ¡°f¨¢cil¡± que es conseguir el n¨²mero de documento de identidad en la web. Y, si de dispone de los conocimientos adecuados para descargar un proxy (los hay gratuitos en la web), el acceso a esa informaci¨®n no era muy complicado. As¨ª, han contado, han podido ver n¨²mero de tel¨¦fono, dosis y brazo en el que fue vacunado el Rey, por ejemplo, el s¨¢bado 29 de mayo. Igual con el presidente del Gobierno, Pedro S¨¢nchez, que fue inmunizado el 28 de junio en el hospital Puerta de Hierro. Y tambi¨¦n los datos de la ministra de Igualdad, Irene Montero o el exvicepresidente del Gobierno, Pablo Iglesias.

Samuel Parra, jurista especializado en protecci¨®n de datos, explica que tras cerrar la brecha, ¡°que es lo m¨¢s inmediato que ha de hacerse¡±, la Administraci¨®n en cuesti¨®n, en este caso la Consejer¨ªa de Sanidad, debe hacer ¡°una comunicaci¨®n al Incibe¡±, el Instituto Nacional de Ciberseguridad de Espa?a. ¡°Adem¨¢s, como es informaci¨®n sensible, debe comunicar a los afectados, de forma individual, la existencia de esa brecha y qu¨¦ informaci¨®n se ha filtrado¡±, a?ade. Y tambi¨¦n, suma, la Comunidad tiene que ponerlo en conocimiento de la Agencia Espa?ola de Protecci¨®n de Datos: ¡°Ya sea por un ataque o por mala configuraci¨®n del propio sistema¡±.

Al ser, tal y como explica la Comunidad, una mala configuraci¨®n, ¡°puede haber medidas disciplinarias contra la administraci¨®n, que tiene la obligaci¨®n de proteger los datos para evitar accesos inadecuados por terceros no autorizados¡±. Los ciudadanos afectados, ?qu¨¦ pueden hacer? ¡°La gente puede denunciarlo ante la Agencia espa?ola de Protecci¨®n de Datos¡±, dice el jurista. Aunque a?ade que, ¡°viendo el volumen de afectados, lo m¨¢s probable es que la propia agencia inicie un procedimiento para esclarecer lo que ha ocurrido, si desde un punto de vista administrativo se ha vulnerado la normativa porque las medidas no eran adecuadas o no se establecieron los protocolos legales exigibles para proteger la informaci¨®n¡±.

Si quisieran, a?ade Parra, ¡°pueden ir un paso m¨¢s all¨¢¡±: ¡°Si la persona considera que ha sufrido un peque?o da?o moral o tiene desasosiego porque sus datos han sido expuestos, pueden reclamar responsabilidad patrimonial¡±. Es decir, una compensaci¨®n econ¨®mica a la Administraci¨®n.

Suscr¨ªbete aqu¨ª a nuestra nueva newsletter sobre Madrid.