elDiario.es: Un fallo de seguridad en la página de autocita para recibir la vacuna contra el coronavirus de la Generalitat de Catalunya ha expuesto datos personales de los ciudadanos registrados en el sistema. El Departamento de Salud cerró el agujero este fin de semana, que dejaba a la vista el nombre, el DNI e información referente a la cita para la vacuna de cada ciudadano, según han confirmado desde esta Administración a elDiario.es. La brecha no ha comprometido ningún tipo de información clínica, recalcan: "En esta web únicamente constan los datos específicos de citación al proceso de vacunación".

---

Las recomendaciones de la Agència Ciberseguretat de Catalunya se aplicaron de forma inmediata para reforzar la seguridad de esta aplicación", explican las mismas fuentes. "Esta vulnerabilidad también se ha corregido ya por la empresa informática aplicando las acciones indicadas por la la Agència", añaden.

Este medio recibió el aviso de la existencia de la brecha a través de un grupo de hackers éticos autodenominado "Team Rocket", que también informó sobre ella a la Generalitat y a varios organismos de ciberseguridad del Estado. Paralelamente, el equipo técnico del Departamento de Salud detectó que la web de autocita estaba recibiendo "peticiones de información fuera de lo habitual". "Dada la visibilidad y trascendencia de la web, se hace un seguimiento continuo. En el curso de estas actuaciones de monitorización se identificaron solicitudes de acceso por parte de terceros fuera del flujo definido y que han sido objeto de análisis", explican las mismas fuentes.

El citado grupo de hackers éticos asegura a elDiario.es que ellos son los autores de esa serie de solicitudes anormales, enviadas como método alternativo para llamar la atención de la Generalitat sobre la situación. "Hemos actuado en la realización de peticiones masivas que es lo que ha hecho saltar las alarmas", explican: "Creemos que es importante que los ciudadanos lo sepan. No se han dado cuenta de las peticiones que hicimos inicialmente y son las que nos han permitido acceder a toda la información", manifiestan.

Por el momento, la Generalitat no tiene pruebas de que la brecha de seguridad haya sido explotada por terceros para acceder a los datos de los ciudadanos más allá de ese testeo llevado a cabo por los hackers éticos. "Se está analizando el incidente con la Agència de Ciberseguretat. Los datos han estado expuestos, pero no tenemos constancia de su usurpación", confirman desde el Departament.
"Como próximos pasos se está profundizando con los diferentes proveedores qué han sido las causas y qué mejoras y controles hay que incorporar a los protocolos para minimizar los riesgos de seguridad informática", añaden. La Generalitat ya ha comunicado el agujero de seguridad a la Autoridad Catalana de Protección de Datos.

Avalancha de brechas en las herramientas COVID

La brecha de seguridad sufrida por el servicio de salud catalán se suma a las dos que acumula la Consejería de Sanidad de la Comunidad de Madrid en sus herramientas digitales para gestionar la pandemia de COVID-19. La administración regional dirigida por Isabel Díaz Ayuso tuvo sendos fallos de programación que expusieron datos personales de los ciudadanos, uno en el sistema de autocita para la vacuna y otro en el portal del certificado COVID.

El primero tuvo lugar en la web de autocita para recibir la vacuna. El portal dejó a la vista el nombre nombre completo, DNI, número de teléfono, fecha de nacimiento y códigos de identificación sanitaria de las personas registradas en el sistema de salud madrileño. El portal se lanzó el 24 de mayo y la Comunidad de Madrid cerró la brecha el 10 de junio, tras recibir aviso de su existencia de elDiario.es. Este medio esperó varios días hasta recibir la confirmación de que los datos ya no eran accesibles antes de publicar la información.

La segunda vulnerabilidad afectó al servicio para obtener el certificado COVID yfue potencialmente más grave. Para explotarla tan solo había que introducir el DNI de una persona en la url del portal para que este devolviera sus datos personales (nombre, número de teléfono, dirección, fecha de nacimiento) en forma de código en bruto. El error dejó a la vista información de millones de ciudadanos anónimos pero también de personas relevantes como del rey Felipe VI o del presidente Pedro Sánchez, cuyos números de DNI son públicos. Madrid pagó por esta web 225.000 euros a la multinacional Indra.

La Agencia Española de Protección de Datos está investigando ambos incidentes,confirmaron fuentes del organismo a este medio. Telemadrid, que también tuvo acceso a los datos de los ciudadanos a través de la segunda brecha, ha puesto esos archivos a disposición de la Policía.