Nueva filtración en Caja Rural: difunden el nombre, contraseñas y móvil de exempleados

La semana pasada ya hubo una primera filtración y ahora se ha producido la segunda. Si el sábado 30 de noviembre 637 clientes de Caja Rural vieron expuestos sus datos privados en internet (nombre y apellidos completos, DNI, número de teléfono, correo electrónico y clave de acceso a Ruralvía, la plataforma de banca 'online' del Grupo Caja Rural), ahora, según ha podido verificar este diario, la historia se ha vuelto a repetir.

En este caso, la filtración afecta al menos a varias decenas de exempleados de la entidad, así como a varias personas que escribieron al Departamento de Recursos Humanos para enviar su CV ante posibles ofertas de empleo. Sus nombres figuran en dos bases de datos, donde se difunde todo tipo de información privada:

• Nombre y apellidos completos.
• DNI.
• Clave de acceso a la entidad.
• Número de teléfono móvil y fijo.
• Dirección física.
• Correo electrónico personal.
• Copia del 'e-mail' enviado por los solicitantes de empleo.

Según la fuente que ha proporcionado estos documentos a El Confidencial, la filtración no procede de un ciberataque sino de una "desastrosa brecha de datos" según la cual la entidad habría alojado dichas bases sin la protección adecuada en materia de ciberseguridad.

"Es una vergüenza, ¿qué pintan mis datos ahí?"

Tras la recepción de las dos bases de datos, Teknautas ha contrastado que se trata de extrabajadores de Caja Rural. Tanto por el testimonio directo de 10 personas como por su búsqueda en redes profesionales como LinkedIn, se ha comprobado que, efectivamente, han trabajado previamente en la entidad.

La mayoría de dichas personas procede de Castilla y León y en los últimos años han trabajado en entidades como Caja Rural de Salamanca, Caja Rural de Zamora, Globalcaja (Castilla-La Mancha) y Caja Rural San José (Castellón).

Uno de los afectados, exempleado de Globalcaja, no da crédito a la filtración: "No entiendo nada, ¿qué pintan mis datos ahí? Es una vergüenza. Solo trabajé cuatro meses allí y ahora me encuentro con esto. ¿Es legal que guarden mis datos así? Pienso llamar para pedir explicaciones. Además, contactaré con un abogado y tomaré acciones legales".

"De considerarse que los datos se han mantenido de forma indebida, sería una infracción grave de la normativa de protección de datos"

Otra exempleada contactada tampoco comprende la situación: "Estuve trabajando en Caja Rural de Zamora. ¿Ahora resulta que mis datos están en internet? ¿Y si alguien me llama o me escribe y me intenta estafar aprovechando que tiene mis datos? ¿Y si alguien se hace pasar por mí? Me parece grave que una exempresa haya recopilado así mis datos personales y que encima no los proteja".

Para el abogado Samuel Parra, especialista en protección de datos, la práctica no es justificable: "Solo Recursos Humanos debería guardar ese tipo de documentación durante el plazo de prescripción de las responsabilidades que puedan nacer de la relación laboral y por imperativo de la normativa de seguridad social o tributaria. Pero se debe guardar la documentación correspondiente y no los datos aislados en una base de datos. La empresa estaría, por ejemplo, obligada a guardar el contrato de trabajo del exempleado, pero no una base de datos donde consten el nombre y apellidos del exempleado, su domicilio y su número de DNI, aunque estos datos aparezcan en el contrato de trabajo".

En este sentido, "las implicaciones que esto puede tener, de considerarse que los datos se han mantenido de forma indebida por cesación de la relación laboral, es que se entienda que los datos personales no están cumpliendo el principio de calidad de datos. Es decir, que están recogidos de forma excesiva y eso produce un tratamiento de los mismos ilícito, lo que es considerada una infracción grave de la normativa de protección de datos", explica Parra.

La 'app', bloqueada al menos tres días

Después de que Teknautas publicase el sábado 30 de noviembre la primera filtración de datos privados de clientes de Caja Rural, la entidad emitió un comunicado en el que aseguraba que "la información publicada no se ajusta a la realidad", ya que "los datos a los que hace referencia no han sido obtenidos de sistemas gestionados por el Grupo Caja Rural y ningún dato de sus sistemas ha sido comprometido". Todo ello pese a que, desde este diario, se le comunicó a la entidad que se había comprobado, con hasta 10 personas, su condición de clientes del grupo.

Además, en el mismo comunicado, se decía que "Grupo Caja Rural ha estado trabajando en las respuestas a la potencial amenaza desde su conocimiento, colaborando para ello con acreditados profesionales del mercado. Se ha recibido confirmación de que la información a la que hace referencia la noticia ya no está expuesta".

Por otro lado, el mismo día de la publicación del primer artículo, la 'app' móvil de Ruralvía dejó de funcionar correctamente. La aplicación dejaba a sus clientes identificarse pero, una vez hecho esto, saltaba un mensaje que aseguraba que "por motivos técnicos transitorios, no se encuentra disponible el Portal de Servicios de Banca por Internet". Dicho mensaje permaneció al menos tres días, hasta el pasado lunes.

Actualmente, el Grupo Caja Rural engloba a 29 entidades financieras de toda España y es uno de los principales grupos bancarios operantes en España. Cuenta con más de 2.299 oficinas y 8.148 empleados, y su estado financiero y patrimonial se plasma en 59.394 millones de euros en activos totales y más de 4.783 millones de euros en fondos propios.

Tras la recepción de esta segunda filtración de datos de exempleados, Teknautas ha contactado de nuevo con Grupo Caja Rural para conocer su visión sobre el asunto. Al cierre de este artículo, la entidad aún no había respondido ni a esta segunda petición de información ni a la primera.

Si tiene información relevante sobre este tema u otro de importancia para la opinión pública, no dude en escribirnos a investigacion@elconfidencial.com​. Gracias.