Los datos personales de 4,5 millones de visitantes habrían estado al descubierto, durante los dos últimos años, por un error de seguridad en la web de entradas de la Alhambra, gestionada por Hiberus Tecnología (del Grupo Henneo). La información, desvelada el pasado miércoles por El Confidencial, apunta a que nombres, apellidos, números de cuenta, teléfonos móviles o correos electrónicos serían algunos de los datos al descubierto.
Según el mismo medio, varios especialistas señalan que el error, por la naturaleza de su vulnerabilidad, es de “primero de hacking”. Por ejemplo, la plataforma no disponía de “Web Aplication Firewall” (WAF), un sistema de seguridad adicional que sí tienen las webs de venta de entradas de algunos grandes museos en España –como el Prado o el Thyssen– que usan el mismo software.
En un informe, solicitado a Hiberus desde el Patronato de la Alhambra y el Generalife, se reconoce la existencia del incidente, pero se descarta que haya habido acceso a datos de carácter personal. Por añadidura, en un comunicado de la UTE encargada de la gestión (formada por Hiberus Tecnología y Sicomoro Servicios Integrales), se apunta que el sistema había sido víctima “de un ataque informático profesional y organizado, cuyo origen e interés se desconoce de momento y va a ser puesto en conocimiento de los Cuerpos y Fuerzas de Seguridad del Estado. Igualmente, se tiene previsto notificar a la Agencia de Protección de Datos al objeto de dar cumplimiento a la normativa legal vigente”.
Se indica también que, “desde el mismo momento en que se tuvo conocimiento de un incidente en la seguridad, se activaron todos los protocolos previstos, de tal modo que la vulnerabilidad se subsanó de forma inmediata mediante un refuerzo de la seguridad que evitó así cualquier nuevo intento de intromisión informática”.
Denuncia de FACUA
Tras conocerse los hechos, FACUA-Consumidores en Acción denunció al Patronato de la Alhambra y Generalife ante la Agencia Española de Protección de Datos (AEPD) “por dejar al descubierto los datos personales y financieros de 4,5 millones de visitantes y casi mil agencias de viajes por un fallo en la web oficial de reserva de entradas”.
En su denuncia, la asociación recuerda que de acuerdo a la normativa europea vigente (Reglamento UE 2016/679, artículo 6), el tratamiento de los datos personales “solo puede darse si el interesado ha dado su consentimiento explícito para hacerlo, o si es necesario para ejecutar el contrato, para cumplir alguna obligación legal, proteger los intereses vitales del interesado o de otra persona, o por interés público”.
Asimismo, FACUA indica que “las infracciones que supongan una vulneración sustancial de lo que aparece recogido en el citado artículo 6 del Reglamento de la UE de están consideradas como muy grave, de acuerdo al artículo 72 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales”.
Caso de éxito
Hiberus se encarga del servicio de gestión de reserva y venta de entradas del Patronato de la Alhambra y el Generalife de Granada desde abril de 2017. En el blog de su web oficial se anunció como “caso de éxito” apuntando que Iacpos (que es el nombre del sistema informático) era una “solución única para atender la demanda nacional e internacional del monumento más visitado de España”.
Iacpos es también el sistema usado por otros clientes de Hiberus, como museos y diversas webs de venta de entradas, y, según El Confidencial, todas presentarían “la misma vulnerabilidad”.
Hace solo una semana, Hiberus también fue noticia cuando se supo que el Ayuntamiento de Zaragoza había presentado una denuncia por una posible estafa en la recarga de 300 tarjetas de tranvía y autobús en Zaragoza. Y lo fue porque es esta misma compañía, a través de otra UTE (formada en este caso junto a Zitycard) quien tiene el contrato de las tarjetas ciudadanas en la capital aragonesa.
El origen de la estafa era una aplicación en la que se ofrecían recargas de Tarjeta Ciudadana al 20 % del coste real, por tanto: pagabas 10 euros y te cargaban 50. Según lo apuntado desde el Consistorio de la capital aragonesa, habría unas 300 tarjetas afectadas.