La web de compra de entradas a la Alhambra de Granada ha sufrido un fallo de seguridad por el cual han quedado al descubierto millones de datos personales de visitantes y agencias de viajes. La gestión de la Alhambra se realiza por un organismo perteneciente a la Consejería de Cultura de la Junta de Andalucía.

Durante dos años, datos como contraseñas, nombres y apellidos, cuentas bancarias, emails, direcciones o teléfonos han quedado desprotegidos. En total han sido más de cuatro millones y medio los afectados por esta brecha de seguridad, lo que la convierte en la mayor producida en España en los últimos años.

El fallo de seguridad fue descubierto en la web tickets.alhambra-patronato.es, perteneciente al Patronato de la Alhambra y el Generalife y adscrita a la Junta de Andalucía. En esta web se gestionan todas las ventas y reservas de entradas al monumento por lo que, si has utilizado recientemente esta web, tus datos personales han estado expuestos.

Dos años con los datos personales expuestos

La web, desde el 2017, tenía este agujero de seguridad que la hacía vulnerable a tres tipos distintos de inyecciones SQL, un conocido tipo de ataque que, añadiendo código malicioso, puede acceder a datos almacenados en servidores web.

La empres Hiberus Tecnología es la encargada de prestar los servicios tecnológicos y el mantenimiento del servicio de venta de entradas online al Patronato de la Alhambra y el Generalife desde 2017. Esta empresa tecnológica aseguró que dos días después de habérsele comunicado ese fallo de seguridad, ya estaba solucionado.

Sin embargo, ese mismo agujero de seguridad afecta a otras empresas gestionadas por Hiberus Tecnología, como webs de venta de entradas para diferentes eventos y museos de diferentes Comunidades Autónomas.

El fallo consiste en la inyección de código malicioso que es una técnica muy antigua. Para evitar estos problemas la mayoría de las empresas hace años que han actualizado sus sistemas. Pero es grave que esto le ocurra a una empresa tecnológica que maneja millones de datos y gestiona webs de compras.

En esta web de venta de entradas no se incluyó la «web aplication firewall«, que es una capa adicional de seguridad para impedir que se produzcan esos fallos. Otro error grave es que se almacenaba el histórico de transacciones en los mismos servidores que el resto de contenidos. Lo normal es que después de unas horas, las transacciones realizadas se almacenen en otro sistema para impedir que, en caso de acceso por terceros al servidor, robe los datos de transacciones antiguas.

Acceso a datos de 2.000 personas en 4 clics

El incidente de seguridad se ha producido por el sistema informático utilizado para la venta de entradas, llamado lacpos. Este software ha sido vendido por Hiberus como un sistema muy seguro. Indican que el sistema ofrece a los visitantes todas las facilidades y ofrece un mecanismo de control de entradas que incrementa la seguridad y el acceso regular al monumento.

Sin embargo, en la web del Patronato de la Alhambra la versión del programa estaba totalmente desactualizada, lo cual facilitaba esa vulnerabilidad.

Este mismo software es usado por otros importantes museos en España, como el Thyssen o el Prado, pero aquí sí se aplican las medidas de seguridad adecuadas y una versión actualizada.

Otros clientes de Hiberus, museos menos importantes y webs de venta de entradas, también tienen el mismo problema. Y algunos sistemas de venta de entradas que usaron lacpos han expuesto todos sus datos internos en Internet.

Por ejemplo, la web Arte y Ocio que vendía entradas para espectáculos y obras de teatro en Teruel ha dejado a la vista los datos personales de casi 2.000 personas que en su momento adquirieron una entrada. Con solo cuatro clics es posible acceder al nombre completo, teléfono y email de esas personas.

Hace poco también han salido a la luz un importante número de casos de posible estafa en recargas de tarjetas de autobús y tranvía en Zaragoza. Y en ellos está implicada también la empresa Hiberus. El sistema informático usado fue hackeado para hacer posibles recargas ilimitadas.

¿Para qué pueden usar esos datos personales?

Los datos tienen más valor cuanto más privados son. Toda esa información personal de los usuarios de la web de entradas de la Alhambra ha podido usarse para atacar a esos usuarios o para venderla a ciberdelincuentes.

Por ejemplo, con el nombre completo, teléfono, email, DNI y dirección de los usuarios pueden realizarse ataques de phishing suplantando la identidad del Patronato de la Alhambra o de otra entidad y solicitar datos de la tarjeta de crédito o bancarios.

En caso de las agencias de viajes, los datos expuestos incluían sus contraseñas de acceso al sistema y los números de cuentas bancarias, lo que facilita la realización de estafas a las mismas.

La empresa responsable está obligada a comunicar ese fallo de seguridad inmediatamente a la AEPD y a los afectados. Y la empresa Hiberus puede ser sancionada por la AEPD con un máximo de 20 millones de euros por infracción del RGPD.

Desde Hiberus entienden que no se ha producido ninguna brecha de seguridad ni vulneración de datos personales por lo que no lo van a comunicar a la AEPD ni a los afectados. Posteriormente, esta empresa ha comunicado que no se trata de un error propio sino de un ataque informático organizado y que lo comunicarán a la policía y a la AEPD.

Desde el Patronato de la Alhambra y el Generalife sí consideran que existió un fallo de seguridad e indican que adoptarán las medidas legales necesarias.

De momento, la AEPD está investigando una de las mayores brechas de seguridad ocurridas en nuestro país.

Fallo de seguridad en la web de entradas de la Alhambra
4.5 (90%) 6 votos

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.