Los datos personales y financieros de
4,5 millones de visitantes de la Alhambra y casi 1.000 agencias de viaje han
quedado al descubierto por un fallo en la web oficial de reservas de entradas
Tras verificar el problema, "el confidencial.es" lo puso en conocimiento del proveedor tecnológico del Patronato de la Alhambra y
Generalife, la empresa Hiberus Tecnología. La firma, con sede en Zaragoza,
cerró en abril de 2017 un acuerdo con la Junta de Andalucía para gestionar y
mantener el sistema 'online' de venta de entradas junto a la empresa Sicomoro
Servicios Integrales, filial de Hiberus (dueña del 51% de su accionariado).
Dos
días después de serle comunicado la vulnerabilidad, un portavoz de Sicomoro aseguró a
Teknautas que "a fecha de hoy cualquier incidente que haya podido ocurrir
está resuelto y correctamente gestionado". Tras verificarlo, el fallo en
la web de la Alhambra ha sido subsanado, pero no el de las webs de otros
clientes de Hiberus, entre los que se encuentran museos en diversas CCAA y
varias webs de ventas de entradas de eventos. Todas presentan la misma
vulnerabilidad (El Confidencial ha decidido no publicar los nombres de estos
otros clientes para evitar filtración de datos).
Contenido accesible en los servidores
web de Hiberus con millones de registros, entre ellos los de 4,5 millones de
visitantes en la 4ª tabla .
El agujero de seguridad en la web de
la Alhambra, monumento con 2,7 millones de visitantes en 2018, es importante
porque afecta tanto a usuarios individuales como agencias de viajes que han
realizado compras de entradas en grupo para sus clientes. En el caso de los primeros,
los datos expuestos son todos aquellos que se han enviado a la hora de reservar
entrada: DNI, número de teléfono, 'e-mail', dirección postal, edad, sexo… No
hay contraseñas porque no es necesario registrarse para comprar tickets. Pero
las agencias de viajes sí necesitan darse de alta.
Cerca de 1.000 agencias de viajes de
todo el mundo que han reservado entradas a través de la web oficial de la
Alhambra han visto todos sus datos expuestos. No solo aparecen en claro, sin
cifrado de ningún tipo, sus números de cuentas corrientes e IBAN, como se
muestra en la imagen inferior. Para unas 340 agencias, aparecen además las
contraseñas de acceso al sistema totalmente al aire, sin cifrado, algo básico y
fundamental en seguridad web. En ambos casos, la información expuesta era
accesible por cualquiera con mínimos conocimientos informáticos.
Contraseñas, 'e-mails', números de cuentas
corrientes e IBAN de cientos de agencias de viajes, al descubierto.
Especialistas consultados por
Teknautas señalan que estamos ante un error de "primero de 'hacking"
por la naturaleza de la vulnerabilidad. "Hablamos de inyección SQL, es una
técnica muy antigua. Prácticamente todas las empresas han puesto ya al día sus
sistemas desde hace años para evitar estos problemas. Siempre queda alguna rezagada,
pero que le ocurra a una firma tecnológica, cuando manejas tantos millones de
registros y gestionas una plataforma de 'ticketing' como esta, es muy
grave", explica el experto en ciberseguridad Josep Albors. Hiberus cobra
por este trabajo alrededor de un millón de euros anuales en concepto de
comisión del 5% por entrada.
El sistema no disponía tampoco de lo
que se conoce como 'web aplication firewall', o WAF, una capa adicional de
seguridad que dificulta que se produzcan estas incidencias. "Es una medida
de seguridad muy recomendable y que las empresas con cierto presupuesto ya
tienen", señala Albors. Y otro fallo grave: el histórico de transacciones
estaba almacenado en los mismos servidores web que el resto de contenido.
Generalmente, todas las transacciones realizadas al cabo de un número de horas
(o máximo, de días) se almacenan en otros sistemas aislados para evitar que, si
alguien penetra en los servidores, se lleve los datos de años y años de
operaciones. Eso es justo lo que ha pasado aquí: era posible entrar hasta la
cocina y llevarse el botín de dos años enteros de datos de millones de
personas.
¿Qué
se puede hacer con los datos?
Cuanto más personal y privado es el
dato, más valor tiene. La ingente cantidad de información personal y financiera
expuesta en la web de entradas de la Alhambra ha podido ser usada durante estos
últimos años por cualquiera que encontrara el fallo para o bien venderla al
peso a cibercriminales o para elaborar con ella sencillos ataques de elevada
recompensa.
"La compañía responsable debe
comunicar urgentemente lo ocurrido a la Agencia Española de Protección de Datos
(AEPD) y, de forma proactiva, a todos los usuarios. Puede que no haya riesgo
directo para muchos clientes, pero estas brechas siempre se acaban sabiendo.
¿Qué prefieren, que los clientes se enteren por la prensa o avisarles ellos
mismos?", explica a Teknautas el abogado especializado en privacidad Jorge
García Herrero, quien señala además que Hiberus se enfrenta a sanciones de
hasta 20 millones de euros por parte de la AEPD por incumplimiento del
Reglamento General de Protección de Datos europeo (RGPD).
El Museo del Prado usa también el sistema
de venta de entradas de Hiberus, pero su web no está afectada. (EFE)El Museo
del Prado usa también el sistema de venta de entradas de Hiberus, pero su web
no está afectada. (EFE)
"No reconocemos ni que haya
ocurrido algo ni que no. Simplemente se han hecho las modificaciones necesarias
para corregir posibles problemas. Hasta donde sabemos, no ha habido vulneración
de datos personales. Como no ha habido brecha de seguridad, no comunicaremos
nada a la AEPD ni a los usuarios", explica a Teknautas el abogado Javier
Prenafeta, socio del despacho 451legal, contratado por Hiberus para prestar los
servicios de Data Protection Officer o DPO.
Horas después de la publicación de
este artículo, Hiberus ha enviado a medios un comunicado en el que achaca la vulnerabilidad
no a un fallo propio sino a un "ataque informático profesional y
organizado, cuyo origen e interés se desconoce de momento. El 'hackeo' va a ser
puesto en conocimiento de los Cuerpos y Fuerzas de Seguridad del Estado. Igualmente,
se tiene previsto notificar a la Agencia de Protección de Datos al objeto de
dar cumplimiento a la normativa legal vigente", explican.
"Desgraciadamente, es la estrategia que suelen tomar muchas empresas:
esconder la cabeza. Van a intentar borrar todo rastro posible del fallo. Van a
negarlo todo cuando en realidad lo que tienen es hacer es justo lo
contrario", señala García Herrero.
Hiberus tiene en la actualidad un
contrato con el Patronato de 24 meses de duración iniciado en julio de 2017 y
prorrogable por otros 24 meses. Vencería por tanto el próximo julio. "Este
contrato no genera gasto para la administración andaluza, ni para el Patronato
de la Alhambra y Generalife. La empresa cobra una comisión del 5% por la venta
de cada entrada", explican desde el Patronato. Traducido: Hiberus se
embolsa unos dos millones de euros en dos años. Está por ver si logrará renovar
el contrato y, también, cómo afectará este contratiempo a la ya castigada
gestión de la Alhambra.
El Patronato se ha visto envuelto en los
últimos años en una investigación policial y judicial por irregularidades en la
venta de entradas (la causa acabó con la condena por fraude de una decena de
personas, entre trabajadores del monumento y guías turísticos) y en la adjudicación
del servicio de audioguías y de otros servicios, que aún se encuentra bajo
investigación. Este escándalo supuso el cese de la anterior directora general
de la Alhambra, María del Mar Villafranca, y el nombramiento el pasado marzo de
Rocío Díaz para sustituirla en el cargo. Se abre ahora un nuevo frente de
investigación, otro más, pero ahora con la AEPD para esclarecer una de las
mayores brechas de datos personales de nuestro país.
Fuente: El Confidencial.es