Tal y como informábamos este jueves 8 de julio, un fallo en la web de la Sanidad madrileña desvelaba datos personales de miles de residentes en la región, entre ellos Felipe VI o el presidente del Gobierno Pedro Sánchez.
Telemadrid hizo público que en el portal habilitado por la Comunidad de Madrid para obtener el certificado digital COVID, un fallo de programación hacía posible que al introducir un número de DNI en la url del sistema, este devolviera el nombre completo de la persona a la que pertenece ese DNI, su dirección, su fecha de nacimiento, su teléfono móvil y el fijo.
En un primer momento, la Comunidad de Madrid ha publicado en su Twitter que eso era mentira y enlazaba a la noticia de la televisión pública de la Comunidad Autónoma. Más tarde, ha reconocido la existencia de la brecha y bloqueado el acceso al portal del certificado COVID durante la tarde del miércoles.
Fuentes de la Consejería de Sanidad explicaron a elDiario.es que «la incidencia ha venido ocasionada por la subida de una actualización que pasó los protocolos de pruebas y que en el proceso de puesta en marcha generó una brecha».
Error de novato de 225.000 euros
Los especialistas han calificado el fallo como “un error de novato”. “Es un fallo muy básico de desarrollo, de novato a nivel de ciberseguridad (o de desconocedor de la implicación)”, ha señalado una de esas fuentes consultadas por elDiario.es.
A pesar de que las fuentes consultadas coinciden en que “es un error que no debería darse”, a la Comunidad de Madrid el sistema no le salió barato, nada más y nada menos que casi 225.000 euros.
La Comunidad de Madrid se lo adjudicó sin concurso a la multinacional española Indra el 3 de junio empleando el procedimiento de urgencia. Por tres meses de trabajo, que incluyen la puesta en marcha de la web y su mantenimiento hasta el 16 de agosto de este año, el Servició Madrileño de Salud (Sermas) pagó 224.479,2 euros.
En la adjudicación, la administración autonómica que dirige Isabel Díaz Ayuso expone que “Indra tiene amplia experiencia en el desarrollo y conocimiento de los sistemas de información del Sermas para prestar este servicio extraordinario, ya que disponen de la infraestructura y capacidad necesarias”, tal y como recoge elDiario.es.
11 millones de españoles con datos expuestos
Se prevé que 11 millones de ciudadanos tuvieron sus datos personales expuestos mientras la brecha de seguridad estaba abierta, pero elDiario.es no ha podido contrastar esta cifra y la Comunidad de Madrid se ha negado a confirmarla o a revelar cuánta gente tiene registrada en su base de datos para obtener el certificado COVID.
Indra ha reconocido la existencia del fallo pero se ha negado a dar cualquier explicación al respecto, derivando toda comunicación sobre lo sucedido a los portavoces de la Comunidad de Madrid.
Facua (Consumidores en Acción), ha presentado una denuncia contra la Consejería de Sanidad de la Comunidad de Madrid ante la Agencia Española de Protección de Datos (AEPD) por la difusión de datos personales de miles de ciudadanos a través de su portal web para la obtención del certificado Covid.
Denuncia de Telemadrid
Asimismo, Telemadrid también ha puesto una denuncia frente a la Policía Nacional y la Guardia Civil y aseguran tener recogidas las pruebas que demuestran este error. El Grupo XVI de Delitos Tecnológicos de la Brigada Provincial de la Policía Judicial de la Policía Nacional de Madrid y el Grupo de Delitos Telemáticos de la Guardia Civil de Madrid están investigando ya el fallo de seguridad.
La Agencia Española de Protección de Datos (AEPD) ha abierto una investigación sobre la brecha de seguridad que afectó ayer al portal para obtener el certificado COVID de la Comunidad de Madrid y, aunque este organismo no puede imponer multas económicas a las administraciones públicas aunque encuentre que ha existido dejación de responsabilidades en la protección de los datos personales de los ciudadanos, sí puede hacerlo si encuentra esas mismas faltas en la actuación de una empresa privada como Indra.