La Alhambra investiga un fallo de seguridad que deja millones de datos al descubierto
Patrimonio
Las reservas de visitantes y de agencias de viajes han quedado a la vista de los hackers
El Patronato ha pedido un "informe detallado" de la situación a la compañía que gestiona la web
Un fallo de seguridad en la página web del Patronato de la Alhambra (www.alhambra-patronato.es) ha dejado al descubierto los datos personales y bancarios de millones de visitantes del monumento y de agencias de viajes. Una situación que ha llevado a la dirección del Patronato de la Alhambra, dirigido por Rocío Díaz, a pedir un "informe detallado" a la empresa que gestiona la web (Hiberus) sobre los pasos dados para "corregir dicho incidente" e incluso una "auditoría interna y externa" que garantice que el sistema sea seguro.
Este incidente de seguridad ha sido desvelado por El Confidencial, que asegura que en total más de 4,5 millones de visitantes, muchos turistas y casi un millar de agencias de viajes han tenido sus datos expuestos en la que ya es una de las mayores brechas de seguridad en España de los últimos años.
El fallo, detectado por el grupo de hackers La9, vinculado a Anonymous, afectaba a la página desde mediados de 2017. Teknautas ha podido confirmar y verificar el agujero de seguridad, que hacía la web vulnerable a tres modalidades diferentes de inyecciones SQL, un tipo de ataque muy conocido que permite acceder a los datos almacenados en servidores web añadiendo código malicioso", explica El Confidencial.
La empresa Hiberus Tecnología, proveedor tecnológico del Patronato desde abril de 2017, cuando cerró el acuerdo para gestionar y mantener el sistema 'online' de venta de entradas junto a la empresa Sicomoro Servicios Integrales, filial de Hiberus (dueña del 51% de su accionariado), ha asegurado que "a fecha de hoy cualquier incidente que haya podido ocurrir está resuelto y correctamente gestionado". Según la información del diario, "tras verificarlo, el fallo en la web de la Alhambra ha sido subsanado, pero no el de las webs de otros clientes de Hiberus, entre los que se encuentran museos en diversas CCAA y varias webs de ventas de entradas de eventos. Todas presentan la misma vulnerabilidad".
Ante estas informaciones, el Patronato de la Alhambra y Generalife ha enviado un comunicado en el que asegura que ha "pedido por escrito a la empresa adjudicataria del servicio, Hiberus Tecnologías de la Información y Sicomoro Servicios Integrales, un informe detallado de los hechos, así como de las primeras medidas adoptadas para corregir dicho incidente y todas las medidas de seguridad necesarias, incluyendo la realización de una auditoria interna y externa, que garantice que el sistema sea seguro y eficaz que evite cualquier tipo de ataque y dé cumplimiento del Esquema Nacional de Seguridad, tal y como exige el Pliego de Prescripciones Técnicas del contrato".
En dicho informe, y como solicita el Patronato de la Alhambra y Generalife, también se deberá informar y documentar de los pasos realizados para la actuación a desarrollar por esta institución, y dar traslado así a Andalucía CERT y la Agencia Española de Protección de Datos (AEPD).
Al respeto, el Patronato de la Alhambra y Generalife recuerda a la empresa adjudicataria los estándares de calidad que requiere la prestación de unos servicios de vanguardia acorde con la importancia y nivel de exigencia de este Monumento.
Entre los afectados por este fallo de seguridad están las agencias de viajes, cuyos datos de clientes han quedado desprotegidos y expuestos. Así, tras conocer la noticia, el presidente de la Asociación de Agencias de Viajes de Granada y provincia, Juan Peláez, ha confirmado a este periódico que no les ha pillado por sorpresa "porque ya denunciamos desde hace tiempo cuando en mayo de 2018 se impuso el sistema de entradas nominativas, que era un peligro el uso de la cantidad de datos de 7.500 personas al día que entran en el monumento".
Según Peláez, lo primero que han hecho es ponerse en contacto con el Patronato, que les ha remitido a un posterior comunicado, para verificar la información. "Es un tema muy delicado porque hay muchos datos de clientes, que podrían ir contra nosotros. La Agencia de Protección de Datos también podría intervenir", ha asegurado el presidente de las agencias de viajes granadinas, que ya se ha puesto también en contacto con sus abogados por si hay que ejercer alguna acción para defender sus intereses. "Vamos a esperar a ver las respuestas y lo que dicen los abogados", aseguró.
Peláez recuerda que el año pasado mostraron sus recelos con el cambio de venta de entradas nominativas y que recibieron un escrito de la jefa de visita pública del Patronato asegurando que no había problema, "que ellos eran responsables de los datos y estaba dentro de los parámetros de seguridad".
Independiente de este fallo de seguridad, las agencias mantienen que la venta de entradas nominativa no elimina el problema y que la reventa sigue existiendo. "Ellos lo impusieron para preservar la seguridad del monumento pero hay otras medidas para hacerlo porque es tal el problema y las consecuencias que puede tener el acceso a los datos mucho mayor que lo que se pretende proteger", dice.
Mañana tendrán una asamblea en la asociación en la que se tratará este asunto y analizará todo el sistema de reserva y los problemas que da. Una reunión preparatoria del encuentro que tendrán la semana próxima con la nueva dirección del Patronato, ya prevista antes de saltar esta noticia, y en la que el sistema de venta de entradas será protagonista.
También te puede interesar
Contenido ofrecido por Los Manueles