El sector de especialistas en ciberseguridad español es pequeño, la mayoría de los expertos y expertas del ramo se conocen. Por eso piden no ser identificados a la hora de posicionarse sobre el fallo de programación en el portal del certificado COVID de la Comunidad de Madrid que provocó que los datos personales de miles de ciudadanos quedaran al descubierto este miércoles. Todos los especialistas consultados por este medio coinciden en calificarlo como “un error de novato”. “Es un fallo muy básico de desarrollo, de novato a nivel de ciberseguridad (o de desconocedor de la implicación)”, abunda una de esas fuentes.
La brecha permitía acceder a los datos de cualquier persona que la Comunidad tenga registrada en su sistema sanitario con tan solo introducir su DNI en la url. Al hacerlo, el portal devolvía los datos en bruto con el nombre completo, la dirección, la fecha de nacimiento, el número de teléfono móvil y el fijo. Ese error podía usarse para extraer esos datos personales de un ciudadano introduciendo un DNI aleatorio en el sistema... o para averiguar el teléfono móvil del rey Felipe VI.
“No es admisible, no puede ser que dando un DNI te devuelva todo sin más”, denuncia otro especialista consultado por este medio. “El fallo parece bastante tonto. No requerir ninguna identificación para darte esos datos es de primero de seguridad”, añade una tercera fuente. “Este error es estúpido”, resume un cuarto experto: “Cuando desarrollas lo que sea, pero especialmente servicios expuestos a Internet como esta web, tienes que hacer una serie de pruebas antes de pasar a un servicio de producción, con un modelo de amenazas”.
Pese a que las fuentes consultadas coinciden en que “es un error que no debería darse”, a la Comunidad de Madrid el sistema no le salió barato. Se lo adjudicó sin concurso a Indra el 3 de junio empleando el procedimiento de urgencia. El Servició Madrileño de Salud (Sermas) pagó 224.479,2 euros, 185.520 euros una vez descontado el IVA, a cambio de tres meses de trabajo, que incluyen la puesta en marcha de la web y su mantenimiento hasta el 16 de agosto de este año.
En la adjudicación, la administración autonómica que dirige Isabel Díaz Ayuso expone que “Indra tiene amplia experiencia en el desarrollo y conocimiento de los sistemas de información del Sermas para prestar este servicio extraordinario, ya que disponen de la infraestructura y capacidad necesarias”.
Dentro del sector de la ciberseguridad la visión de esta multinacional española es un tanto diferente a la que refleja el Sermas. “Indra es un monstruo. Tiene un montón de subcontratas y personal junior trabajando bajo mucha presión”, revela uno de los expertos en ciberseguridad consultados para esta información. “Poco pasa”, incide. “Si vieras los grupos en los que nosotros hablamos de estas cosas... de Indra esto es solo una más”, coincide una fuente diferente.
“No es normal que lo que pasa allí no trascienda”, lamenta Marcelino Madrigal, el único experto consultado que ha preferido ser nombrado en esta información. Trabajó en los sistemas de información de Indra durante 33 años, siendo despedido durante la pandemia. “Echan a gente de más de 50 años con mucho conocimiento técnico para sustituirlos por puestos junior a 14.000 euros al año, o por una subcontrata que les cuesta el doble que las personas que echan”, afea: “Sí, poco pasa. Se están cargando la empresa a la vista de todos”.
Según han informado a elDiario.es varias personas que tuvieron conocimiento de la brecha de seguridad mientras estaba abierta, el total de ciudadanos que tuvieron sus datos personales expuestos asciende a 11 millones. Es el resultado que han arrojado herramientas de consulta automatizada, programadas para ir probando DNIs aleatoriamente y almacenar la información que devolvía el sistema cuando el número correspondía a una persona registrada en él. elDiario.es no ha podido contrastar esta cifra y la Comunidad de Madrid se ha negado a confirmarla o a revelar cuánta gente tiene registrada en su base de datos para obtener el certificado COVID.
La Comunidad dice que se hicieron pruebas
elDiario.es ha contactado con Indra para contrastar su implicación en el agujero de seguridad. La multinacional ha reconocido la existencia del fallo pero ha rehusado dar cualquier explicación al respecto, derivando toda comunicación sobre lo sucedido a los portavoces de la Comunidad de Madrid.
Fuentes de la Consejería de Sanidad han explicado que “la incidencia ha venido ocasionada por la subida de una actualización que pasó los protocolos de pruebas”, pero que “en el proceso de puesta en marcha generó una brecha”. Aseguran que esta “fue detectada por los servicios de calidad” de la Comunidad. Según la información a la que tuvo acceso este medio, varias fuentes del sector de la ciberseguridad alertaron del fallo a la Consejería de Sanidad antes de que esta apagara todo el sistema para obtener el certificado COVID como medida de precaución, algo que ocurrió a media tarde del jueves.
“En cualquier caso”, recalcan desde la Consejería de Sanidad, “la incidencia no afectaba a datos clínicos y por supuesto no comprometía la alteración alguna de información en las bases de datos”.
Dando por válida la explicación de Sanidad de que una prueba falló, los especialistas en ciberseguridad consultados siguen sin verlo claro. “No me puedo creer que pasase las pruebas y luego en producción fallase. Puede ser porque el entorno de preproducción y testeo no sea el mismo que el de producción”, dice uno de ellos: “Pero eso sería otra cagada gorda porque no tienes la garantía de que algo vaya a funcionar igual en test que en producción. También puede haber sido un fallo en el servicio de despliegue, que haya dado errores, no se hayan copiado todos los archivos y nadie se haya dado cuenta (lo cual debería ser automático también)”.
Protección de Datos investiga lo sucedido
La Agencia Española de Protección de Datos (AEPD) ha abierto este jueves una investigación sobre la brecha de seguridad que afectó ayer al portal para obtener el certificado COVID de la Comunidad de Madrid, han confirmado fuentes del organismo a este medio.
La implicación de Indra en la brecha es relevante a efectos de la futura resolución de la AEPD, puesto que este organismo no puede imponer multas económicas a las administraciones públicas aunque encuentre que ha existido dejación de responsabilidades en la protección de los datos personales de los ciudadanos. Sí puede hacerlo, en cambio, si encuentra esas mismas faltas en la actuación de una empresa privada como Indra.
Telemadrid, que también pudo contrastar la existencia de la brecha mientras esta estuvo abierto, ha presentado pruebas de lo sucedido a la Policía durante la mañana de este jueves.