Agujero en la web de entradas a la Alhambra: los datos de 4,5 M de visitantes, al descubierto

Números de cuentas corrientes, contraseñas, nombres y apellidos, teléfono móvil, 'e-mail', dirección postal… Son los datos privados de visitantes y agencias de viaje que han estado totalmente desprotegidos durante dos años en la web oficial de compra de entradas de la Alhambra, gestionada por un organismo adscrito a la Consejería de Cultura de la Junta de Andalucía. En total, más de 4,5 millones de visitantes, muchos turistas, y casi un millar de agencias de viajes han tenido sus datos expuestos en la que ya es una de las mayores brechas de seguridad en España de los últimos años.

Si usted ha usado recientemente la web tickets.alhambra-patronato.es del Patronato de la Alhambra y Generalife, la página oficial adscrita a la Junta de Andalucía que gestiona el 100% de la reserva y venta de entradas al monumento, todos los datos enviados han quedado expuestos. El fallo, detectado por el grupo de 'hackers' La9, vinculado a Anonymous, afectaba a la página desde mediados de 2017. Teknautas ha podido confirmar y verificar el agujero de seguridad, que hacía la web vulnerable a tres modalidades diferentes de inyecciones SQL, un tipo de ataque muy conocido que permite acceder a los datos almacenados en servidores web añadiendo código malicioso.

TE PUEDE INTERESAR

Chapuza en Change.org: seis años de firmas falsas y robo de identidad a sus usuarios

Manuel Ángel Méndez

Tras verificar el problema, este diario lo comunicó al proveedor tecnológico del Patronato de la Alhambra y Generalife, la empresa Hiberus Tecnología. Esta firma, con sede en Zaragoza, cerró en abril de 2017 un acuerdo con la Junta de Andalucía para gestionar y mantener el sistema 'online' de venta de entradas junto a la empresa Sicomoro Servicios Integrales, filial de Hiberus (dueña del 51% de su accionariado). Dos días después de comunicar la vulnerabilidad, un portavoz de Sicomoro aseguró a Teknautas que "a fecha de hoy cualquier incidente que haya podido ocurrir está resuelto y correctamente gestionado". Tras verificarlo, el fallo en la web de la Alhambra ha sido subsanado, pero no el de las webs de otros clientes de Hiberus, entre los que se encuentran museos en diversas CCAA y varias webs de ventas de entradas de eventos. Todas presentan la misma vulnerabilidad (El Confidencial ha decidido no publicar los nombres de estos otros clientes para evitar filtración de datos).

El agujero de seguridad en la web de la Alhambra, monumento con 2,7 millones de visitantes en 2018, es importante porque afecta tanto a usuarios individuales como agencias de viajes que han realizado compras de entradas en grupo para sus clientes. En el caso de los primeros, los datos expuestos son todos aquellos que se han enviado a la hora de reservar entrada: DNI, número de teléfono, 'e-mail', dirección postal, edad, sexo… No hay contraseñas porque no es necesario registrarse para comprar tickets. Pero las agencias de viajes sí necesitan darse de alta.

Cerca de 1.000 agencias de viajes de todo el mundo que han reservado entradas a través de la web oficial de la Alhambra han visto todos sus datos expuestos. No solo aparecen en claro, sin cifrado de ningún tipo, sus números de cuentas corrientes e IBAN, como se muestra en la imagen inferior. Para unas 340 agencias, aparecen además las contraseñas de acceso al sistema totalmente al aire, sin cifrado, algo básico y fundamental en seguridad web. En ambos casos, la información expuesta era accesible por cualquiera con mínimos conocimientos informáticos.

Especialistas consultados por Teknautas señalan que estamos ante un error de "primero de 'hacking" por la naturaleza de la vulnerabilidad. "Hablamos de inyección SQL, es una técnica muy antigua. Prácticamente todas las empresas han puesto ya al día sus sistemas desde hace años para evitar estos problemas. Siempre queda alguna rezagada, pero que le ocurra a una firma tecnológica, cuando manejas tantos millones de registros y gestionas una plataforma de 'ticketing' como esta, es muy grave", explica el experto en ciberseguridad Josep Albors. Hiberus cobra por este trabajo alrededor de un millón de euros anuales en concepto de comisión del 5% por entrada.

El sistema no disponía tampoco de lo que se conoce como 'web aplication firewall', o WAF, una capa adicional de seguridad que dificulta que se produzcan estas incidencias. "Es una medida de seguridad muy recomendable y que las empresas con cierto presupuesto ya tienen", señala Albors. Y otro fallo grave: el histórico de transacciones estaba almacenado en los mismos servidores web que el resto de contenido. Generalmente, todas las transacciones realizadas al cabo de un número de horas (o máximo, de días) se almacenan en otros sistemas aislados para evitar que, si alguien penetra en los servidores, se lleve los datos de años y años de operaciones. Eso es justo lo que ha pasado aquí: era posible entrar hasta la cocina y llevarse el botín de dos años enteros de datos de millones de personas.

2.000 personas al descubierto en 4 clics

En el centro de toda la polémica está el sistema informático de venta de entradas usado por Sicomoro e Hiberus, denominado Iacpos. La empresa que lo desarrolló, del mismo nombre, Iacpos, fue adquirida por Hiberus a comienzos de 2017 en una operación similar a la de Sicomoro: haciéndose con el 51% del accionariado. Desde entonces, Hiberus ha vendido el 'software' como un fulgurante caso de éxito y su contrato con la Alhambra como la prueba de su puntero I+D tecnológico.

"En Hiberus, fuimos conscientes de las necesidades que tenía el Patronato de la Alhambra pero fuimos más allá. Quisimos desarrollar una plataforma que ofreciese todas las facilidades posibles a los visitantes y, a la vez, un sistema de control de la venta de entradas y aforo completamente innovador, que aumentase la seguridad y el acceso regular a los recintos". Se trata de un "caso de éxito" publicado en enero de 2018 en la web de la compañía y borrado poco después de que este diario comunicara a la empresa el fallo en la web del Patronato (se puede consultar aquí en caché).

La realidad es que la página de la Alhambra usaba una versión completamente desactualizada del programa, un fallo que facilitaba la vulnerabilidad. Este 'software' es el mismo que emplean grandes museos en España como el Prado o el Thyssen, pero en su caso usan una versión actualizada, sin fallos y con las medidas de seguridad pertinentes, como un WAF. No ocurre lo mismo con al menos otros cinco clientes de Hiberus, museos más modestos y webs de venta de entradas que sí presentan el mismo problema que la web de la Alhambra. Y lo que es peor: antiguos sistemas de venta de entradas que contrataron el sistema Iacpos han dejado al descubierto en internet todos sus datos internos.

Un ejemplo: la web Arte y ocio, creada en 2017 para la venta de entradas de obras de teatro y otros espectáculos con motivo del 800 aniversario de los Amantes de Teruel, muestra ahora mismo los datos personales de casi 2.000 clientes que en su momento compraron un ticket. Como se puede ver en la imagen debajo, bastan cuatro clics para acceder al número de móvil, nombre completo e 'e-mail' de miles de personas. No es necesario ni realizar técnicas de inyección SQL. Los datos están al aire por completo.

Hiberus se ha visto envuelta también en una reciente polémica de 300 casos de posible estafa en las recargas de las tarjetas para viajar en bus urbano y tranvía en Zaragoza. El sistema, desarrollado y gestionado por Hiberus, fue supuestamente 'hackeado' para permitir recargadas ilimitadas. Empresa y ayuntamiento minimizaron en su momento este incidente por tratarse de menos del 0,1% de del total de los usuarios del servicio. El caso de la Alhambra es diferente: hay datos de millones de personas filtrados. ¿Y ahora qué?

¿Qué se puede hacer con los datos?

Cuanto más personal y privado es el dato, más valor tiene. La ingente cantidad de información personal y financiera expuesta en la web de entradas de la Alhambra ha podido ser usada durante estos últimos años por cualquiera que encontrara el fallo para o bien venderla al peso a cibercriminales o para elaborar con ella sencillos ataques de elevada recompensa. Por ejemplo, ataques de 'phishing': con el 'e-mail', móvil, nombre, apellidos, DNI y dirección postal de millones de personas es muy sencillo crear 'e-mails' haciéndose pasar por la Alhambra, o cualquier otra entidad fiable (banco, aseguradora, compañía del gas...), pedir datos bancarios o de tarjeta de crédito, y bingo. Lo mismo ocurre con las agencias de viajes, solo que sus datos eran aún más valiosos: incluían su número de cuenta corriente y contraseña de acceso al sistema.

"La compañía responsable debe comunicar urgentemente lo ocurrido a la Agencia Española de Protección de Datos (AEPD) y, de forma proactiva, a todos los usuarios. Puede que no haya riesgo directo para muchos clientes, pero estas brechas siempre se acaban sabiendo. ¿Qué prefieren, que los clientes se enteren por la prensa o avisarles ellos mismos?", explica a Teknautas el abogado especializado en privacidad Jorge García Herrero, quien señala además que Hiberus se enfrenta a sanciones de hasta 20 millones de euros por parte de la AEPD por incumplimiento del Reglamento General de Protección de Datos europeo (RGPD).

"No reconocemos ni que haya ocurrido algo ni que no. Simplemente se han hecho las modificaciones necesarias para corregir posibles problemas. Hasta donde sabemos, no ha habido vulneración de datos personales. Como no ha habido brecha de seguridad, no comunicaremos nada a la AEPD ni a los usuarios", explica a Teknautas el abogado Javier Prenafeta, socio del despacho 451legal, contratado por Hiberus para prestar los servicios de Data Protection Officer o DPO.

Horas después de la publicación de este artículo, Hiberus ha enviado a medios un comunicado en el que achaca la vulnerabilidad no a un fallo propio sino a un "ataque informático profesional y organizado, cuyo origen e interés se desconoce de momento. El 'hackeo' va a ser puesto en conocimiento de los Cuerpos y Fuerzas de Seguridad del Estado. Igualmente, se tiene previsto notificar a la Agencia de Protección de Datos al objeto de dar cumplimiento a la normativa legal vigente", explican. "Desgraciadamente, es la estrategia que suelen tomar muchas empresas: esconder la cabeza. Van a intentar borrar todo rastro posible del fallo. Van a negarlo todo cuando en realidad lo que tienen es hacer es justo lo contrario", señala García Herrero.

Consultados por este diario, el Patronato de la Alhambra y Generalife de la Junta de Andalucía contradice la versión de Hiberus y reconoce que ha habido un fallo de seguridad y no descarta tomar medidas judiciales. "Las investigaciones realizadas permiten constatar la existencia de un incidente de seguridad, que ya se ha corregido, si bien no hay indicios concluyentes de que constituya una vulneración grave de la confidencialidad de los datos. Continúan las investigaciones por parte de la empresa adjudicataria para averiguar el origen, impacto y posible difusión a terceros de datos personales, y tomar en su caso las medidas judiciales que resulten pertinentes", señala un portavoz.

Van a intentar borrar todo rastro posible del fallo. Van a negarlo todo cuando en realidad lo que tienen es hacer es justo lo contrario

Hiberus tiene en la actualidad un contrato con el Patronato de 24 meses de duración iniciado en julio de 2017 y prorrogable por otros 24 meses. Vencería por tanto el próximo julio. "Este contrato no genera gasto para la administración andaluza, ni para el Patronato de la Alhambra y Generalife. La empresa cobra una comisión del 5% por la venta de cada entrada", explican desde el Patronato. Traducido: Hiberus se embolsa unos dos millones de euros en dos años. Está por ver si logrará renovar el contrato y, también, cómo afectará este contratiempo a la ya castigada gestión de la Alhambra.

El Patronato se ha visto envuelto en los últimos años en una investigación policial y judicial por irregularidades en la venta de entradas (la causa acabó con la condena por fraude de una decena de personas, entre trabajadores del monumento y guías turísticos) y en la adjudicación del servicio de audioguías y de otros servicios, que aún se encuentra bajo investigación. Este escándalo supuso el cese de la anterior directora general de la Alhambra, María del Mar Villafranca, y el nombramiento el pasado marzo de Rocío Díaz para sustituirla en el cargo. Se abre ahora un nuevo frente de investigación, otro más, pero ahora con la AEPD para esclarecer una de las mayores brechas de datos personales de nuestro país.