Un fallo de ciberseguridad de Sanidad de Madrid ha dejado al descubierto los datos de ciudadanos, entre ellos, los del rey Felipe VI. "Una grave brecha" informática en un portal sanitario de la región ha hecho que bastara con cambiar el DNI en una URL para poder acceder a información privilegiada, según ha adelantado Telemadrid y ha confirmado El Confidencial.
No solo personas anónimas se han visto afectadas por este error, sino que personalidades como el propio Rey ha sufrido sus consecuencias. Simplemente era necesario disponer del DNI del individuo del que se querían conocer los datos para poder acceder a su número de teléfono o los domicilios en los que ha residido. Este diario ha podido comprobar cómo era posible acceder, entre otros datos, al teléfono móvil del rey Felipe VI.
El fallo permitía también conocer la información sobre la vacunación de cada persona afectada, como dónde y a qué hora se ha vacunado contra el covid, qué inyección ha recibido o en qué brazo se puso la dosis. De acuerdo con el medio madrileño, no se puede precisar el número de perjudicados por la brecha, aunque asegura que "podrían ser miles".
La Consejería de Sanidad de Madrid ha reconocido la "vulnerabilidad de seguridad" en el portal del ciudadano para la obtención del certificado covid, aunque ha señalado que el enlace afectado "no es de dominio público". Por ello, ha indicado que "es falso que cualquier ciudadano pueda meterse en páginas web de la Consejería de Sanidad de la Comunidad de Madrid para obtener el certificado COVID y que se pueda acceder a información confidencial como datos clínicos del Rey, del presidente del Gobierno o de otros expresidentes".
Las mismas fuentes han precisado la razón de dicha "incidencia", ocasionada "por la subida de una actualización que pasó los protocolos de pruebas y que en el proceso de puesta en marcha generó una brecha" que, dicen, "ha quedado solventada en horas tras ser detectada por los servicios de calidad". Tras especificar la causa, han vuelto a insistir en que el fallo no ha afectado a "datos clínicos" ni ha comprometido "la alteración alguna de información en las bases de datos". Además, han subrayado que para obtener la información personal se requiere no solo el DNI del individuo en cuestión sino también "el certificado digital del usuario".
Por su parte, la Comunidad de Madrid ha negado los hechos y ha compartido la noticia de la cadena en un tuit junto a un 'hashtag' de "STOPBULOS". "Esto es falso", ha publicado en su cuenta oficial de la red social Twitter. La noticia, verificada por este diario, es un grave y básico fallo de ciberseguridad que ha dejado expuestos los datos de miles de ciudadanos. Fuentes de ciberseguridad consultadas lo confirman.
— Comunidad de Madrid (@ComunidadMadrid) July 7, 2021
"Estos datos estaban circulando por foros de 'hackers' desde media tarde", señala un especialista consultado que ha comprobado el fallo, accediendo entre otros a los datos del rey Felipe VI: "Los cibercriminales que buscan comprar datos para usarlos en campañas posteriores de 'phishing' han hecho hoy el agosto".
Un fallo de ciberseguridad de Sanidad de Madrid ha dejado al descubierto los datos de ciudadanos, entre ellos, los del rey Felipe VI. "Una grave brecha" informática en un portal sanitario de la región ha hecho que bastara con cambiar el DNI en una URL para poder acceder a información privilegiada, según ha adelantado Telemadrid y ha confirmado El Confidencial.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fae2%2F2e9%2F2c0%2Fae22e92c03511f8c073395f3b5fb8af9.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fed7%2Fdcd%2Fcf3%2Fed7dcdcf3021bb004ffb1d034453b7c7.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F6f8%2Fe17%2Fc6a%2F6f8e17c6a927ed177bd5b546fcd1619e.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fea6%2Fae3%2Fd2a%2Fea6ae3d2ac356efb9b9f5e9f2c342f99.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F1f4%2F658%2F187%2F1f4658187e46c3675d37c62c7a1b681c.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fe6d%2F7da%2F118%2Fe6d7da118bddb2a4834774715e1d0ed3.jpg)