Un agujero en la seguridad del Mad Cool filtra los datos personales de ¡°cientos¡± de compradores

A las tres de la tarde del martes, Cecilia Castell¨®, de 48 a?os, se dispuso a bajarse sus entradas para el 8 de julio del festival de m¨²sica Mad Cool, a 79 euros por cabeza, m¨¢s 7,90 de gastos de gesti¨®n. ¡°Fui de las primeritas, porque el correo de [la plataforma de venta de entradas] Ticketmaster en el que se informaba de que ya se pod¨ªan descargar las pulseras me entr¨® a las 14.42¡å, cuenta. ¡°Para recibirlas adem¨¢s f¨ªsicamente por Correos, hab¨ªa que confirmar la direcci¨®n postal ¡®de una forma muy sencilla¡¯, dec¨ªan, en la web Mad Cool Area, as¨ª que me met¨ª y vi que no sal¨ªa el piso, le di a modificar y me aparecieron los datos de otra persona completamente distinta, nombre, DNI, direcci¨®n, tel¨¦fono, ?todo! Me qued¨¦ flipando, me asust¨¦ y lo cerr¨¦. Lo volv¨ª a intentar y me salieron los de otra persona, as¨ª hasta tres veces m¨¢s¡±, prosigue.

Esta asistente al macroevento, que se celebrar¨¢ del 6 al 8 de julio en la nueva ciudad de la m¨²sica de Villaverde tras varias ediciones en Valdebebas, envi¨® un mail a Ticketmaster. ¡°A las 16.00 me confirmaron que hab¨ªan localizado la incidencia, que estaban trabajando en ello y que disculpara las molestias. Y yo lo le¨ªa pensando ?pero madre de mi vida, si esto es una filtraci¨®n brutal!¡±, comenta. Porque no era un hecho puntual que le hubiera pasado a ella sola, sino un error t¨¦cnico ¡°grav¨ªsimo¡± que hizo que los compradores de los abonos para todo el festival y de las entradas de un d¨ªa accedieran a los datos de otras personas. No solo los datos de un n¨²mero indeterminado de compradores quedaron expuestos, sino que se pod¨ªan descargar las pulseras y cambiar las direcciones para que acabaran en manos de terceros. Castell¨® no lo intent¨®, pero entiende que pod¨ªa hacerse.

Mientras, la alarma saltaba en Twitter, donde el cabreo iba en aumento. ¡°?Alguien est¨¢ intentando sacar las pulseras del Mad Cool y le salen los datos de otras personas? La ley de protecci¨®n de datos bien, ?no?¡±, se quejaba una compradora. ¡°Incre¨ªble, filtrando los datos de la gente. Entras con tu email y pedido y, cada vez que cargas, datos una persona diferente¡±, criticaba otro, a lo que respond¨ªan ¡°peor a¨²n, no hace falta ni introducir datos¡±. ¡°Ten¨¦is un bug [error en el c¨®digo de una web] que permite ver entradas que no son las tuyas y los datos de otras personas¡±, alertaba otra usuaria.

Tras dos horas y media con semejante agujero de seguridad, Mad Cool cerr¨® el acceso. ¡°A las 17.26 recib¨ª un correo en el que se informaba del cierre de la plataforma¡±, confirma Castell¨®. ¡°Tu entrada no le llegar¨¢ a otra persona, puedes estar tranquilo. Los abonos o entradas que hayan sido descargados no ser¨¢n v¨¢lidos. Nadie ha podido acceder al c¨®digo de tu entrada/s. Te informaremos tan pronto la plataforma est¨¦ activa¡±, dec¨ªa el comunicado a los afectados.

?Cu¨¢ntos hubo? Una portavoz del festival, que lo califica de ¡°brecha de seguridad bastante leve¡±, no concreta la cifra porque no la tienen ¡°confirmada al 100%¡±, pero asegura que ¡°son menos de miles, no es una cifra tan grande, no llega a cientos¡±. La portavoz tampoco tiene ¡°datos oficiales¡± de cu¨¢ntas entradas y abonos se han puesto a la venta ni de cu¨¢ntas se han despachado. ¡°Solo sabemos que los abonos se est¨¢n agotando, la venta est¨¢ al 90%, entradas de un d¨ªa s¨ª hay m¨¢s disponibles¡±.

La organizaci¨®n afirma que ha seguido ¡°en todo momento el protocolo establecido por la Agencia Espa?ola de Protecci¨®n de Datos (AEPD), asesorados por la gestor¨ªa Audidat¡±. Borja Adsuara, abogado experto en derecho digital y privacidad, opina que se trata de ¡°una infracci¨®n clar¨ªsima¡± de la Ley de Protecci¨®n de Datos, en concreto del deber de guardar secreto. ¡°Muy grave no es, pero para determinar si es leve o grave, la AEPD, que puede actuar de oficio o tras la presentaci¨®n de una denuncia, valora si ha sido un fallo t¨¦cnico o humano, si son reincidentes, si es espor¨¢dico o sistem¨¢tico, si se tomaron medidas previas para evitarlo o correctoras con rapidez...¡±, detalla Adsuara, por lo que esta ¡°negligencia¡± puede quedarse en una sanci¨®n leve o un mero apercibimiento.

Por su parte, una portavoz de la AEPD indica que ¡°no puede pronunciarse a priori sobre asuntos concretos que no ha analizado en profundidad¡±, pero confirma que ha recibido ¡°varias denuncias sobre este asunto¡± y est¨¢ evaluando ¡°si se admiten o no a tr¨¢mite¡±. ¡°Si son admitidas, se seguir¨¢ el procedimiento previsto en el t¨ªtulo VIII de la Ley Org¨¢nica de Protecci¨®n de Datos y garant¨ªa de los derechos digitales¡±.

A mediod¨ªa de este mi¨¦rcoles, el festival ha dado por subsanado el error. ¡°El problema est¨¢ bajo control y solucionado, la plataforma funciona con total normalidad desde esta ma?ana, menos de 24 horas despu¨¦s de detectarse el fallo, y todos los usuarios pueden actualizar lo que necesiten con total seguridad¡±, se?ala la portavoz. Aunque no ha recibido ning¨²n correo m¨¢s, Castell¨® se ha descargado sus entradas sobre las dos de la tarde sin sorpresas.

En un comunicado, la organizaci¨®n explica que el ¡°problema t¨¦cnico¡± se detect¨® a las 14.45 y que ¡°se procedi¨® a cerrar la plataforma en cuesti¨®n de minutos para corregirlo¡±, al tiempo que delega toda responsabilidad en la empresa externa Casfid Servicios Tecnol¨®gicos SLU, ¡°encargada de la programaci¨®n, gesti¨®n y funcionamiento¡± del Mad Cool Area. ¡°La empresa, en la cual se alojan algunos de los datos personales de los compradores, asume el fallo interno que ha provocado esta parcial exposici¨®n de datos, causada por un problema t¨¦cnico en un microcacheo que realiza el servidor donde est¨¢ alojado el formulario tras una migraci¨®n de DNS¡±, a?ade el festival. Es decir, que el formulario estaba en un servidor y los datos, en otro, y que al actualizarlo, se acced¨ªa a otro formulario consultado previamente por un problema en la memoria cach¨¦.

Los organizadores aseguran que ¡°los datos bancarios no han sido expuestos¡± y sostienen que ¡°todos los compradores tendr¨¢n su entrada y su pulsera v¨¢lida y nadie recibir¨¢ en su domicilio pulseras que no correspondan¡±. ¡°No hay ni va a haber duplicidad, las entradas descargadas no son de otras personas, la gente solo ha podido descargarse su propia entrada, aunque pudiera ver datos de otros¡±, asegura la portavoz. El festival afirma estar ¡°contactando personalmente con los afectados¡± para revisar ¡°caso por caso¡±. Pueden dirigirse a contacto@casfid.es ¡°para cualquier cuesti¨®n derivada de la parcial exposici¨®n de datos personales¡± y a pulseras@madcool.es para dudas sobre la recepci¨®n de las pulseras.

Ticketmaster tambi¨¦n alega que es un problema ajeno a su empresa, ya que ellos solo se encargaban de comunicar la habilitaci¨®n del acceso al sistema: ¡°La ticketera realiza labores como intermediario entre promotores y fans, pero Ticketmaster no es responsable del error¡±. Dichas fuentes a?aden que ¡°el problema no ha afectado a la venta de entradas, responsabilidad de Ticketmaster, que ha funcionado con total normalidad¡±. En el momento de la adquisici¨®n, Ticketmaster ya env¨ªa las entradas, que luego pueden volverse a descargar o solicitar f¨ªsicamente a Mad Cool Area.

A Castell¨® nunca le hab¨ªa pasado nada igual a la hora de comprar entradas por internet, pero no est¨¢ preocupada. ¡°Es que soy muy confiada. Tambi¨¦n es verdad que el dato de la tarjeta no sale, que es lo que m¨¢s me asustar¨ªa¡±, confiesa. Aunque recuerda que no es el primer fallo de organizaci¨®n del Mad Cool ¨D¡±es un asunto recurrente¡±¨D, no se le han quitado las ganas de ir. ¡°Traen un buen cartel¡±. La sexta edici¨®n del Mad Cool incluye nombres como Liam Gallagher, Robbie Williams, Sam Smith, Mumford&Sons, The Prodigy, Red Hot Chili Peppers y The Black Keys.

Suscr¨ªbete aqu¨ª a nuestra newsletter diaria sobre Madrid.