Detectan un agujero de seguridad en la página de vacunación que permitía acceder a datos de terceros
Salud solucionó el problema hace unos días y asegura que no se ha producido ningún fuga de información
BarcelonaLa página de vacunación que se utiliza en Catalunya para pedir cita o modificar la hora de la vacuna permitía acceder a los datos de terceros. El departamento de Salud solucionó el problema hace poco más de una semana, asegurando que durante los meses en los que existió esta brecha de seguridad no se produjo ninguna fuga de información. "No ha habido ninguna incidencia en la página de VacunaCovid que haya comportado que terceras personas hayan accedido a informaciones de otros ciudadanos", defiende el departamento a preguntas del ARA.
Desde el departamento aseguran que dada la "visibilidad y trascendencia de la web" se hace un seguimiento "proactivo" de la misma, haciendo controles de manera regular para detectar cualquier incidencia. Durante esta monitorización se detectó "solicitudes de acceso por parte de terceros fuera del flujo definido" que se analizaron para minimizar cualquier "vulnerabilidad tecnológica u operativa que pudiera afectar a su funcionamiento". Se descubrió un incidente y conjuntamente con la Agencia de Ciberseguridad de Catalunya se aplicaron las mejoras necesarias para mejorar la aplicación y reforzar la seguridad. En un análisis posterior más detallado de lo que había pasado, los técnicos detectaron la existencia de "una vulnerabilidad en uno de los componentes de la solución que comportaba de un riesgo de exposición de datos identificativos de las personas y de las citas de vacunación".
Inicialmente, el departamento había admitido que la problemática se había detectado por el aviso de un usuario. "Ante la reflexión expresada por un ciudadano, se analizó y decidó limitar al máximo la información que se presenta en la consulta de un cita futura. Así se ha eliminado cualquier dato personal y se han dejando solo los referentes a la cita", respondió el departamento para explicar cómo se solucionó este agujero de seguridad, a pesar de que posteriormente atribuyeron a la monitorización de la web la detección de la problemática.
El usuario trasladó a las autoridades que la página permitía "acceder de forma muy fácil por parte de terceros no autorizados a datos de vacunación, tarjeta sanitaria, móvil, correo, nombre completo, cita por la vacunación..." de otros ciudadanos. No era una operación sencilla, requería de ciertos conocimientos informáticos, pero accediendo a la consola del navegador dentro de la página de vacunación se podía modificar el DNI y de este modo acceder a datos personales de terceros, sin necesidad de ningún código de identificación o validación a través de mensaje SMS. Al cabo de unos días de que la queja llegara al departamento, esta posibilidad ya estaba deshabilitada y de este modo se solucionó la problemática que podría haber permitido un volcado masivo de datos generando una secuencia de DNIs de manera automatizada.
El caso de Madrid
Hace una semana, Telemadrid informó de que la página web habilitada por la Comunidad de Madrid para obtener el certificado digital covid o pedir hora para vacunarse había expuesto públicamente datos personales de miles de ciudadanos, entre los cuales Felipe VI o Pedro Sánchez. Según la información de la cadena autonómica, solo había que introducir el DNI de la persona para poder acceder a información personal como el número de teléfono o de la Seguridad Social. La Comunidad de Madrid desmintió que "cualquier ciudadano" pudiera acceder a "información confidencial como los datos clínicos del rey", pero reconocieron una "vulnerabilidad de seguridad en la funcionalidad del portal".
