Dos fallos de seguridad han dejado al descubierto, durante un breve periodo de tiempo, datos personales y datos relativos a la vacunación de miles de ciudadanos de Madrid y Cataluña. El primero de ellos sucedió el pasado 7 de julio y dejó al descubierto datos de personalidades como el rey Felipe VI o el presidente del gobierno español, Pedro Sánchez. En este post de Conversia te explicamos los detalles.

Brecha de seguridad en la Consejería de Sanidad de Madrid

Un error en la página web de la Consejería de Sanidad de la Comunidad de Madrid dejó al descubierto, el pasado miércoles 7 de julio, los datos personales de miles de usuarios del sistema de salud madrileño. A través del apartado habilitado para obtener el certificado Covid-19, durante unas horas se pudo acceder con cierta facilidad (introduciendo el número de DNI) a los números de teléfono personal, la dirección del domicilio o el número de seguridad social de los ciudadanos, así como obtener los datos relativos al proceso de vacunación de cada persona (fecha y lugar en el que se suministró la dosis, quién la inyectó, en qué brazo y qué marca de vacuna se proporcionó).

La alerta la dio Telemadrid que comunicó a la Comunidad de Madrid, a la Guardia Civil y a la Policía Nacional que habían podido acceder a los datos ya mencionados utilizando un programa proxy. A pesar de que, en un primer momento, la Comunidad de Madrid reaccionó a través de Twitter asegurando que la información era falsa, más tarde, fuentes de la Consejería de Sanidad reconocieron el error pero aclararon que no habían sido expuestos los historiales clínicos de los ciudadanos. Asimismo, explicaron que la vulnerabilidad había surgido a raíz “de una actualización que había pasado el protocolo de pruebas y que en proceso de puesta en marcha generó una brecha que quedó solventada en horas, tras ser detectada por los servicios de calidad”.

Según explicaron desde el medio de comunicación madrileño, pudieron acceder a los datos del mismo rey Felipe VI, del presidente del gobierno, Pedro Sánchez, de la ministra de Igualdad, Irene Montero, el exvicepresidente del gobierno, Pablo Iglesias, el líder de la oposición, Pablo Casado, o de los expresidentes españoles, José María Aznar y Mariano Rajoy.

Datos desprotegidos en la web del Departament de Salut de Catalunya

No había pasado ni una semana de la salida a la luz del primero de los fallos, cuando el lunes 12 de julio eldiario.es notificó una nueva brecha de privacidad en referencia a la vacunación de los ciudadanos, en este caso, catalanes. Pocas horas después, la Generalitat de Catalunya reconocía  el error de seguridad en la página web de vacunación del Departament de Salut que dejó al descubierto datos personales como el DNI o información relativa a la citación para vacunarse. En ningún caso, se pudo acceder al historial clínico, ni a los teléfonos ni direcciones de los perjudicados. “La web de vacunación Covid se ha diseñado con un sistema específico para la gestión de las vacunas, aislado de los sistemas de historial electrónico de la ciudadanía. El objetivo ha sido simplificar al máximo los trámites de reserva de citas para favorecer la vacunación, reducir el absentismo y facilitar la gestión electrónica de las citas”, aseguraron fuentes de la Generalitat.

Asimismo, la Agència de Ciberseguretat de Catalunya emitió un comunicado en el que aseguraba que la vulnerabilidad de la aplicación ya había sido corregida, a la vez que se estaba trabajando conjuntamente con el Departament de Salut para investigar las causas de la brecha, así como estudiar qué mejoras se podían incorporar en el sitio web.

Puedes leer más noticias relacionadas con la protección de datos en este blog de Conversia.