FACUA denuncia al Patronato de la Alhambra por dejar al descubierto los datos de 4,5 millones de visitantes

Los datos personales de 4,5 millones de turistas que visitaron entre 2017 y 2019 el conjunto monumental de la Alhambra y el Generalife han quedado expuestos a causa de un fallo de seguridad ocurrido en la página web oficial del Patronato, desde donde se realizaban las compras y reservas de entradas para acceder al monumento. En este post de Conversia te damos los detalles sobre la denuncia puesta por la agrupación de consumidores FACUA contra el Patronato de la Alhambra ante la AEPD por esta grave filtración.

Un grave fallo de seguridad

A finales de mayo, la organización FACUA-Consumidores en Acción denunció al Patronato de la Alhambra y Generalife ante la Agencia Española de Protección de Datos (AEPD) por haber vulnerado la protección de los datos personales de 4,5 millones de personas, así como de casi mil agencias de viajes. Esta vulneración fue fruto de un fallo en la página web oficial de reserva de entradas y, según fuentes del diario El Confidencial, entre los datos comprometidos se encontrarían números de DNI, nombres y apellidos, contraseñas, números de teléfonos, direcciones de email, direcciones postales o números de cuentas corrientes, entre otros.

Esta brecha de seguridad ocurrida en la web oficial de compra de entradas de la Alhambra, gestionada por un organismo adscrito a la Consejería de Cultura de la Junta de Andalucía, se habría producido durante poco más de dos años, desde abril de 2017 a mayo de 2019, cuando se denunció el fallo.

Varios agujeros en la página web

El error fue detectado por el grupo de hackers La9, vinculado a Anonymous. Después de hacerlo público, varios expertos en la materia confirmaron la brecha de seguridad y lo comunicaron a la empresa que gestiona y mantiene el sistema “online” de la venta de entradas. Dos días después de denunciar la vulnerabilidad, la compañía aseguró que “a fecha de hoy cualquier incidente que haya podido ocurrir está resuelto y correctamente gestionado”. Sin embargo, según apunta El Confidencial los expertos comprobaron que el fallo en la web de la Alhambra había sido corregido, pero que el error se repetía en otras páginas de otros clientes de la misma empresa, entre los que se encontraban varios museos españoles y algunas webs de ventas de entradas de eventos.

Según los expertos, el error detectado en la página web del Patronato de la Alhambra y el Generalife es de “primero de hacking”. El sitio web usaba una versión desactualizada del programa, error que facilitó la vulnerabilidad. La página tampoco disponía de Web Aplication Firewall (WAF), es decir, una capa adicional de seguridad que dificulta que ocurran estas incidencias. Y, además, el histórico de transacciones estaba almacenado en los mismos servidores web que el resto de contenido, cuando lo normal es que, una vez realizadas, las transacciones se almacenen en otros sistemas aislados, con el fin de impedir que en caso de brecha se pueda acceder a los datos de años de operaciones.

Primeras reacciones ante las denuncias

Tras las primeras denuncias de los medios de comunicación, el Delegado de Protección de Datos de la empresa que gestiona y mantiene el sistema “online” de la venta de entradas se apresuró a decir que no reconocían ni que hubiese ocurrido algo ni que no. “Simplemente se han hecho las modificaciones necesarias para corregir posibles problemas. Hasta donde sabemos, no ha habido vulneración de datos personales. Como no ha habido brecha de seguridad, no comunicaremos nada a la AEPD, ni a los usuarios”

No obstante, al cabo de unas horas, la empresa envió un comunicado en el que atribuía la vulnerabilidad a un “ataque informático profesional y organizado”, quitándose las responsabilidades que conllevan un fallo propio. Según el comunicado, “el “hackeo” va a ser puesto en conocimiento de los Cuerpos y Fuerzas de Seguridad del Estado e, igualmente, se tiene previsto notificar a la Agencia de Protección de Datos al objeto de dar cumplimiento a la normativa legal vigente”.

En este sentido, a raíz de la plena aplicación del Reglamento General de Protección de Datos (RGPD), el Patronato de la Alhambra y el Generalife podría enfrentarse a una sanción de hasta 20 millones de euros por parte de la AEPD a causa de este fallo.

FACUA denuncia al Patronato de la Alhambra ante la AEPD

Sin embargo, la organización FACUA-Consumidores en Acción no dudó en presentar una denuncia ante la Agencia Española de Protección de Datos (AEPD) contra el Patronato de la Alhambra y Generalife, por haber vulnerado la protección de los datos personales de 4,5 millones de personas. En su denuncia, la asociación recuerda que, de acuerdo con el artículo 6 del RGPD, el tratamiento de los datos personales solo puede realizarse si el interesado ha dado su consentimiento explícito para hacerlo.  Además, recuerdan que, al conocer la irregularidad, el Patronato debería haber comunicado lo ocurrido a la AEPD y a todos los usuarios que podrían verse afectados, tal y como indica el artículo 33 del RGPD, “a más tardar 72 horas después de que haya tenido constancia de ella, a menos de que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas”.

Descubre más denuncias sobre vulneraciones en protección de datos en este blog de Conversia.