Sobre la filtración de datos en la Consejería de Sanidad de Madrid

Seguramente estos días (es verano y hay pocas noticias) estarás leyendo abundantes noticias sobre una filtración de datos que se ha producido en la Consejería de Sanidad de la Comunidad de Madrid.

Sin ir más lejos, el diario Publico titulaba así

Un error de ciberseguridad desvela datos de miles de ciudadanos de Madrid, entre ellos el rey y el presidente del Gobierno 

Aunque en faq-mac solemos hacernos eco de los abundantes y continuos robos de bases de datos, hackeos y vulnerabilidades de seguridad que hacen que prácticamente cualquier contraseña que introduzcas en una página web pueda acabar siendo del dominio público, esta vez nos ha parecido que debíamos poner un contrapunto al sensacionalismo de los titulares.

Si lees la noticia, verás que los requisitos para obtener (algunos) datos personales y médicos de los integrantes de esa base de datos son bastante concretos y muy lejos del “desvelado masivo”.

Los hechos

Por enunciarlo, usando las propias informaciones del citado diario Público:

  • Necesitas conocer el DNI del usuario cuya información quieras conocer
  • Requiere tener un proxy que analice las conexiones internas del servidor para saber en qué URL hay que introducir ese DNI

En resumen, potencialmente podrías conocer los datos de “miles de usuarios” de la Sanidad madrileña… si tuvieras su DNI. Y aún así, tendrías que ir introduciendo esos DNIs uno a uno.

Los datos que obtendrías son: número de teléfono, domicilio, dónde se vacunó contra la covid, si no lo había hecho, con qué dosis y quién le vacunó.

Por supuesto, una organización dedicada a obtener información personal podría automatizar todo ese procedimiento (cruzando datos de DNIs obtenidos de otras filtraciones con automatizaciones para que se introdujera automáticamente y se copiaran los datos a otro archivo, así una y otra vez.

Aunque la Comunidad de Madrid asegura que esa brecha de seguridad informática se tapó en pocas horas, es cierto que para entonces se podrían haber obtenido miles de registros de usuarios del portal sanitario.

Fuente: Telemadrid

Dice José Luis Rivas, perito forense informático:

“Casi todos los problemas de seguridad en la administración pública radican en la falta de partida presupuestaria suficiente para cumplir con las normativas de ciberseguridad que rigen en nuestro Estado. Podemos realizar toda la legislación que queramos en materia de ciberseguridad que, si los mismos políticos que las crean no le dan partidas presupuestarias porque no dan votos, es legislación inútil.

Si además dichas normativas no sancionan a las Administraciones Públicas y sólo suponen tirones de orejas, seguiremos con fallos de ciberseguridad en las Administraciones y ataques a estas, como la del SEPE, EMT de Madrid, ayuntamientos de Fuenlabrada, Vinarós, etc.

Por tanto, o lo políticos creen realmente en la seguridad y en el I+D o que se dediquen a otra cosa, porque no están viviendo el presente inmediato.”

Puedes escuchar a Jose Luis Rivas en el podcAST

Lo extraño del caso

Según parece, Telemadrid (que es quien ha tenido la “exclusiva”) se enteró del caso por una llamada anónima. (A mi me) resulta sorprendente que -alguien que descubre un agujero de seguridad así- su primer pensamiento sea llamar a la televisión local (normalmente suelen ser brazos extendidos del propio gobierno local) para avisar, cuando presuntamente tendrán bastante interés en que el caso no se conozca y se solvente lejos de los focos.

¿Por qué no llamar, digamos, a la Policía, o a un médico de comunicación presuntamente más antagónico con el gobierno del PP? Aparentemente el informador sabía lo que hacía, ya que la propia Telemadrid ha presentado una denuncia contra la Consejería de Sanidad de la Comunidad de Madrid por la filtración de datos.

Ni estoy en política ni sigo los entresijos de los medios de comunicación, pero no me parece que se habitual que medios de comunicación, sean cadenas de televisión, radios o periódicos sean los que presenten las denuncias. Mucho menos la propia cadena local contra su Gobierno local.

No digo que no estén en su derecho, al contrario, me parece estupendo y ojalá fuera costumbre que en cuanto descubran algún indicio de delito se vayan a los juzgados.

Pero me llama la atención un párrafo en la información de El Pais

Esa reacción refleja el mal momento que viven las relaciones entre las dos partes. De hecho, el Gobierno de Isabel Díaz Ayuso espera aprobar este jueves en la Asamblea, gracias a la abstención de Vox, una reforma de la ley de Telemadrid que le permitiría controlar el ente. Así, la nueva normativa supondría el cese inmediato del actual director general, José Pablo López. 

Así dicho suena a “decretazo” para eliminar a un director hostil. Sin embargo, la continuación del párrafo parece que deja las cosas en unos términos “razonables”:

Al tiempo, mantendría la necesidad de que su sustituto lo elijan dos tercios de la Cámara (lo que obliga a un acuerdo de la derecha con la izquierda), aunque introduciría una nueva figura que permitiría al PP pilotar la televisión. Se trata del Administrador Provisional, que se designaría por mayoría absoluta (la que suman PP y Vox) y pilotaría la compañía pública hasta que se seleccione a un nuevo director general.

Esta misma figura es la que utilizó el ente público Radio Televisión Española con Rosa María Mateo para cubrir el vacío de poder una vez cesado el anterior director del conglomerado audiovisual público, mientras se acordaba su sustituto (con un concurso de méritos no exento de polémicas).

Conclusión

Antes de seguir enredándonos en análisis superficiales sobre los hilos que mueven los medios audiovisuales públicos, cerremos el tema con lo importante: Ni se han “filtrado” decenas de miles de datos personales de usuarios de la sanidad madrileña, ni era posible que cualquiera accediera a ellos… y Telemadrid ha presentado una denuncia por ese agujero de seguridad.

Esa es la realidad. Pero… ¡qué sabré yo!

Alf

Propietario de www.faq-mac.com.

0 0 votos
Article Rating
Subscribe
Notify of
0 Comments
Opiniones Inline
Ver todos los comentarios

Lost your password? Please enter your email address. You will receive mail with link to set new password.

wpDiscuz
0
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x
Salir de la versión móvil