El portal habilitado por la Comunidad de Madrid para obtener el certificado digital COVID, puesto en marcha el 7 de junio, permitía a cualquier usuario acceder a datos personales de miles de ciudadanos. Según ha podido comprobar elDiario.es, un fallo de programación hacía posible que al introducir un número de DNI en la url del sistema, este devolviera el nombre completo de la persona a la que pertenece ese DNI, su dirección, su teléfono móvil y el fijo.
De esta forma, introduciendo un número de DNI como el del rey Felipe VI (la familia real ostenta los números a partir del 10, que corresponde a Juan Carlos de Borbón) la página devolvía los datos en bruto con su nombre, Felipe de Borbón y Grecia, su teléfono móvil y su residencia en el Palacio de la Zarzuela, sin número. Introduciendo números de DNI aleatorios se podía acceder a los mismos datos de otros ciudadanos. También funcionaba con el NIE, el Número de Identidad de Extranjeros.
Además de los datos del rey, la brecha también permitía acceder a información de otras personas relevantes en la política española como el propio presidente Pedro Sánchez, José María Aznar o Pablo Iglesias, según ha podido llegar a contrastar Telemadrid.
La Comunidad de Madrid ha reconocido la existencia de la brecha y bloqueado el acceso al portal del certificado COVID durante la tarde de este miércoles. Fuentes de la Consejería de Sanidad han explicado a elDiario.es que “la incidencia ha venido ocasionada por la subida de una actualización que pasó los protocolos de pruebas y que en el proceso de puesta en marcha generó una brecha”.
Esa brecha, aseguran las mismas fuentes, “ha quedado solventada en horas tras ser detectada por los servicios de calidad”. No obstante, elDiario.es tiene constancia de que la Comunidad de Madrid fue avisada por expertos en ciberseguridad de la peligrosa situación que estaba provocando su sistema del certificado COVID. Fuentes del sector habían informado de la presencia del fallo a elDiario.es, que se encontraba revisando su alcance cuando la Comunidad tumbó todo el sistema como medida de seguridad.
La incidencia no afectaba a datos clínicos y por supuesto no comprometía la alteración alguna de información en las bases de datos
“La incidencia no afectaba a datos clínicos y por supuesto no comprometía la alteración alguna de información en las bases de datos. Insistimos en qué ya está bloqueada”, concluyen desde la Consejería. El portal no ha sido reactivado.
El certificado COVID da facilidades para viajar entre países de la Unión Europea en tres supuestos: si se tiene la pauta de vacunación contra la COVID-19 completa; si se tiene una PCR o test de antígenos negativos; o si se acredita que se ha superado la infección en los últimos 6 meses. Puede utilizarse con una aplicación móvil digital o en papel.
Segundo error de programación en las herramientas de la pandemia
La brecha que ha afectado al portal que permitía obtener el certificado expedido por la Comunidad de Madrid es muy similar a la que sufrió el sistema de autocita para la vacunación de la administración regional que dirige Isabel Díaz Ayuso, revelada por este medio. Entonces, otro error de programación permitía acceder a los datos personales (nombre completo, DNI, fecha de nacimiento y número de teléfono) de los ciudadanos introduciendo códigos de identificación sanitaria aleatorios en el sistema.
La Comunidad de Madrid corrigió ese fallo tras el aviso de elDiario.es. Fuentes de la Consejería de Sanidad aseguraron que “no fue explotada por nadie”. “Si hubiera actuado un actor malicioso nuestro SOC (Centro de operaciones de ciberseguridad) que monitoriza nuestros sistemas de información ininterrumpidamente, lo hubiera detectado”, insistieron.
No obstante, el fallo que ha sufrido el portal del certificado COVID ha sido potencialmente más grave. Esto se debe a que los códigos de identificación sanitaria necesarios para acceder a la información personal de otros ciudadanos a través del sistema de autocita son mucho más desconocidos y menos utilizados por la población que el DNI, un número que un gran número de personas tienen expuesto en la red debido a la digitalización de documentos oficiales, por ejemplo.