El Consorcio Regional de Transportes de Madrid ha confirmado haber sido víctima de un ciberataque por el que se han visto comprometidas las bases de datos con información de los titulares de Tarjetas de Transporte Público. El organismo informó en su página web del incidente el pasado 14 de febrero, pero la incidencia ha pasado desapercibida hasta ahora. El Consorcio asegura que se ha podido constatar que se trata de un "ciberataque de origen externo, intencionado y doloso", que ha "afectado a la confidencialidad de los datos personales".
En un comunicado, los responsables del Consorcio aseguran que se establecieron las medidas necesarias para bloquear el ataque y se "procedió a diseñar e implementar medidas adicionales de seguridad, técnicas y organizativas". Al mismo tiempo, se procedió a denunciar los hechos ante el Cuerpo Nacional de Policía y a comunicar la brecha de seguridad a la Agencia Española de Protección de Datos, en cumplimiento estricto de la normativa.
El ataque tuvo lugar la madrugada del 22 de noviembre de 2023 y, según asegura el Consorcio, "fue neutralizado el mismo día gracias al trabajo de los equipos técnicos. El Reglamento general de protección de datos (RGPD) obliga a las empresas que han sido víctimas de un ciberataque a hacer públicas estas brechas, de ahí el comunicado del Consorcio.
El organismo de transportes asegura que "no se ha podido evidenciar el contenido exacto de la posible extracción efectuada como consecuencia del ataque, aunque existen evidencias de la extracción de información de bases de datos de titulares de Tarjetas de Transporte Público de la Comunidad de Madrid con datos identificativos (nombre, apellidos, domicilio, correo electrónico, teléfono, localidad y provincia, código postal, …) y de ventas de títulos de transporte". No ha ofrecido una cifra exacta del número de afectados, aunque puede tratarse de miles de personas.
El Consorcio asegura también que, "hasta la fecha actual, no hay constancia de la materialización de un perjuicio efectivo para ninguna de las personas que pudieran estar afectadas". Sin embargo, señala, estos datos se pueden poner a la venta y existe riesgo de que los afectados reciban comunicaciones no deseadas o ser víctimas de campañas de phishing o suplantación de identidad. "Se recuerda que el Consorcio Regional de Transportes nunca solicita información sobre las claves de acceso, incluidos los supuestos de cuentas bancarias o el pin de tarjetas de crédito o débito. Se recomienda extremar las medidas de precaución habituales".
El Consorcio Regional de Transportes de Madrid ha confirmado haber sido víctima de un ciberataque por el que se han visto comprometidas las bases de datos con información de los titulares de Tarjetas de Transporte Público. El organismo informó en su página web del incidente el pasado 14 de febrero, pero la incidencia ha pasado desapercibida hasta ahora. El Consorcio asegura que se ha podido constatar que se trata de un "ciberataque de origen externo, intencionado y doloso", que ha "afectado a la confidencialidad de los datos personales".
:format(jpg)/f.elconfidencial.com%2Foriginal%2Ffb5%2Fb69%2F1eb%2Ffb5b691eb9f99736f4c5415c7ecaa3d8.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fbae%2F46e%2F4ae%2Fbae46e4ae71885c465774749d67f5d0b.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F744%2Fd67%2F182%2F744d67182eaf692fce6c0db0a7f58628.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F84a%2Ffc7%2F0d7%2F84afc70d7a17bb9a874fb2b328d0bd5a.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Febd%2Fdaa%2Fe09%2Febddaae0961cde04e3667edd0f27fb20.jpg)