Madrid deja al descubierto datos personales de los pacientes con su sistema de autocita para la vacunación

Un error de programación permitía acceder a los datos personales de los ciudadanos introduciendo códigos de identificación sanitaria aleatorios en el sistema. La Comunidad de Madrid ha cerrado la brecha de seguridad tras el aviso de elDiario.es

La Comunidad de Madrid activó el pasado 24 de mayo su sistema de autocita por franjas de edad para que los ciudadanos que aún no han recibido ninguna dosis de la vacuna contra la COVID-19 podrían programar una cita. Desde ese día y hasta este jueves, la página web habilitada por la Consejería de Sanidad para pedir esa citación ha tenido una brecha de seguridad que ha afectado a todas las personas con una tarjeta sanitaria de la región, según ha podido comprobar elDiario.es.

A causa de un error de programación, la página dejaba a la vista el nombre completo, DNI, número de teléfono, fecha de nacimiento y los números de identificación sanitaria tanto autonómicos como nacionales de cualquier ciudadano cuando se hace una solicitud de cita con su número CIPA (Código de Identificación Personal de la Comunidad de Madrid).

La administración regional que preside Isabel Díaz Ayuso ya ha cerrado la brecha de seguridad después de recibir un aviso por parte de elDiario.es hace varios días. Fuentes de la Consejería de Sanidad aseguran, no obstante, que ningún “actor malicioso” ha accedido a los datos de los residentes en la región. “No ha sido explotada por nadie”, afirma. Y añaden: “Si hubiera actuado un actor malicioso nuestro SOC (Centro de operaciones de ciberseguridad) que monitoriza nuestros sistemas de información ininterrumpidamente, lo hubiera detectado”.

El código CIPA está en la tarjeta sanitaria personal y no es público. Solo lo conocen el propio ciudadano y las administraciones. No obstante, el sistema programado por la comunidad que dirige Díaz Ayuso permite a cualquier usuario introducir un número CIPA aleatorio y, si este corresponde a una persona registrada, acceder a su perfil personal de vacunación. Una vez dentro, se podía consultar si esa persona había sido vacunada o no y consultar los datos personales (nombre completo, DNI, fecha de nacimiento y número de teléfono).

Esa información no era visible a simple vista, sino que estaba presente en el código informático de la Web. Para acceder a ella había que activar las herramientas para desarrolladores del navegador, una opción que está disponible para cualquier usuario pero que no se suele utilizar sin ciertos conocimientos técnicos previos. Por las características del fallo, esto podría haber permitido que ciberdelincuentes con las habilidades necesarias lo explotaran con herramientas automáticas de extracción de datos, aunque la Comunidad asegura que no ha sido así. “Hubieran actuado los organismos competentes”, insisten desde Sanidad.

“Recientemente se detectó que con el número personal del CIPA (Código de Identificación Personal Autonómico) de la tarjeta sanitaria de un usuario, y accediendo al código javascript del navegador web del ciudadano y con un conocimiento informático específico, se puede obtener los datos del DNI , teléfono móvil y año de nacimiento de ese usuario “, detalla la Consejería de Sanidad.

La Consejería trata de restar importancia al fallo de seguridad alegando que en cualquier caso “es necesario tener el código CIPA de esa persona”, código “que es personal y que no se puede obtener en ningún registro accesible”. “El código CIPA está compuesto por 10 dígitos en total. No obstante, la Consejería de Sanidad ya ha reforzado el sistema de la web de autocita para evitar ese acceso”, añaden desde el Gobierno regional. “En ningún caso esta situación ha supuesto un riesgo de alteración de ningún dato en los sistemas ni se ha recibido quejas de los usuarios”, concluyen.

elDiario.es ha podido comprobar que se podía acceder a los datos de los ciudadanos sin demasiada dificultad, simplemente introduciendo números CIPA al azar. Este medio tuvo constancia de la situación a través de una anónima y no ha publicado esta información hasta que la Comunidad de Madrid no ha confirmado que la brecha había quedado cerrada por motivos de seguridad.

Otras comunidades autónomas que han activado sistemas de autocita han habilitado segundos factores de autenticación que complican notablemente que un tercero pueda acceder al perfil de otro ciudadano de manera aleatoria. Debido a las características de la brecha, esta también ha podido permitir que cualquiera que accediera al perfil de vacunación de un tercero solicitara en su nombre una cita para inmunizarse, aunque elDiario.es no dispone de información que indique que este extremo se haya producido.

Fuente: Carlos del Castillo | Fátima Caballero en eldiario.es

También podría interesarte