La Comunidad de Madrid activó el pasado 24 de mayo su sistema de autocita por franjas de edad para que los ciudadanos que aún no habían recibido ninguna dosis de la vacuna contra la COVID-19 pudieran programar una cita. Desde ese día y hasta este jueves, la página web habilitada por la Consejería de Sanidad para pedir esa citación ha tenido una brecha de seguridad que ha afectado a todas las personas con una tarjeta sanitaria de la región, según ha podido comprobar elDiario.es.
A causa de un error de programación, la página dejaba a la vista el nombre completo, DNI, número de teléfono, fecha de nacimiento y los números de identificación sanitaria tanto autonómicos como nacionales de cualquier ciudadano cuando se hacía una solicitud de cita con su número CIPA (Código de Identificación Personal de la Comunidad de Madrid).
La administración regional que preside Isabel Díaz Ayuso ya ha cerrado la brecha de seguridad después de recibir un aviso por parte de elDiario.es hace varios días. Fuentes de la Consejería de Sanidad aseguran, no obstante, que ningún "actor malicioso" ha accedido a los datos de los residentes en la región. "No sido explotada por nadie", afirman. Y añaden: "Si hubiera actuado un actor malicioso nuestro SOC (Centro de operaciones de ciberseguridad) que monitoriza nuestros sistemas de información ininterrumpidamente, lo hubiera detectado".
El código CIPA está en la tarjeta sanitaria personal y no es público. Solo lo conocen el propio ciudadano y las administraciones. No obstante, el sistema programado por la comunidad que dirige Díaz Ayuso permitía a cualquier usuario introducir un número CIPA aleatorio y, si este correspondía a una persona registrada, acceder a su perfil personal de vacunación. Una vez dentro, se podía consultar si esa persona había sido vacunada o no y consultar los datos personales (nombre completo, DNI, fecha de nacimiento y número de teléfono).
Esa información no era visible a simple vista, sino que estaba presente en el código informático de la Web. Para acceder a ella había que activar las herramientas para desarrolladores del navegador, una opción que está disponible para cualquier usuario pero que no se suele utilizar sin ciertos conocimientos técnicos previos. Por las características del fallo, esto podría haber permitido que ciberdelincuentes con las habilidades necesarias lo explotaran con herramientas automáticas de extracción de datos, aunque la Comunidad asegura que no ha sido así. "Hubieran actuado los organismos competentes", insisten desde Sanidad.
"Recientemente se detectó que con el número personal del CIPA (Código de Identificación Personal Autonómico) de la tarjeta sanitaria de un usuario, y accediendo al código javascript del navegador web del ciudadano y con un conocimiento informático específico, se podían obtener los datos del DNI, teléfono móvil y año de nacimiento de ese usuario", detalla la Consejería de Sanidad.
La Consejería trata de restar importancia al fallo de seguridad alegando que en cualquier caso "es necesario tener el código CIPA de esa persona", código "que es personal y que no se puede obtener en ningún registro accesible". "El código CIPA está compuesto por 10 dígitos en total. No obstante, la Consejería de Sanidad ya ha reforzado el sistema de la web de autocita para evitar ese acceso", añaden desde el Gobierno regional. "En ningún caso esta situación ha supuesto un riesgo de alteración de ningún dato en los sistemas ni se han recibido quejas de los usuarios", concluyen.
elDiario.es ha podido comprobar que se podía acceder a los datos de los ciudadanos sin demasiada dificultad, simplemente introduciendo números CIPA al azar. Este medio tuvo constancia de la situación a través de una fuente anónima y no ha publicado esta información hasta que la Comunidad de Madrid no ha confirmado que la brecha había quedado cerrada por motivos de seguridad.
Otras comunidades autónomas que han activado sistemas de autocita han habilitado segundos factores de autentificación que complican notablemente que un tercero pueda acceder al perfil de otro ciudadano de manera aleatoria. Debido a las características de la brecha, esta también ha podido permitir que cualquiera que accediera al perfil de vacunación de un tercero solicitara en su nombre una cita para inmunizarse, aunque elDiario.es no dispone de información que indique que este extremo se haya producido.
