Investigan un fallo de seguridad en la web del monumento más visitado de España

Granada

El patronato de la Alhambra ha solicitado a la empresa encargada de gestionar su web de venta de entradas un informe detallado sobre el error de seguridad detectado por un grupo de hackers que habría afectado a más de 4,5 millones de visitantes y una auditoría tanto interna como externa de su gestión.

La dirección del monumento, el más visitado del país, ha informado en un comunicado de la investigación de este error de seguridad de los datos que ha adelantado 'El Confidencial' y que habría afectado desde mediados del 2017 a todos los turistas que han comprado por la web entradas a la Alhambra.

El patronato ha explicado que, tras conocer el incidente que se detectó el pasado viernes en el sistema de venta de entradas, ha pedido por escrito a la empresa adjudicataria del servicio, Hiberus Tecnologías de la Información y Sicomoro Servicios Integrales, un informe detallado de los hechos.

El complejo monumental también ha exigido conocer las primeras medidas adoptadas para corregir el fallo y que se activen los canales de seguridad necesarios, junto a una auditoría interna y externa para garantizar que el sistema es seguro y eficaz frente a cualquier tipo de ataque.

El escrito remitido a Hiberus también ha exigido el cumplimiento del Esquema Nacional de Seguridad y ha recordado que así se detalla en el Pliego de Prescripciones Técnicas del contrato por el que la empresa especializada se hizo cargo de la gestión de la web.

Únete al canal de WhatsApp de la SER

La respuesta de la empresa deberá documentar los pasos realizados para solventar la situación y dar traslado de lo ocurrido a las administraciones competentes.

Según ha adelantado El Confidencial, un grupo de hackers vinculados a Anonymous ha detectado un fallo en la web de venta de pases de la Alhambra que dejaría sin protección los datos de todos los visitantes del monumento, más de 4,5 millones de personas, y de alrededor de un millar de agencias de viaje.

El agujero de seguridad de la web de venta de entradas de la Alhambra habría permitido acceder a datos como nombre de turistas, sus DNI, teléfonos y direcciones, pero que en el caso de las agencias incluye además contraseñas y números de cuentas bancarias.

En declaraciones a Efe, el delegado de Protección de Datos de Hiberus, Javier Prenafeta, ha pedido tranquilidad ante la "vulneración" de la web, ha explicado que se solventó a las horas de ser comunicada y ha recalcado que ya no presenta ningún problema. Prenafeta ha añadido que un equipo técnico interno y externo a la empresa investiga ahora las causas del error y evalúa su alcance.

A este incidente se ha referido también y a preguntas de los periodistas el alcalde de Granada, Francisco Cuenca, que ha explicado que afronta con "alerta y preocupación" las informaciones sobre el fallo de seguridad, por lo que ha contactado con la directora de la Alhambra, Rocío Díaz, para conocer la incidencia.

Cuenca ha pedido a Díaz saber qué medidas de seguridad se van a poner en marcha para garantizar el buen funcionamiento del monumento y ha exigido medios "telemáticos, de garantía y de seguridad".

Denuncia

Facua-Consumidores en Acción ha denunciado al Patronato de la Alhambra y Generalife ante la Agencia Española de Protección de Datos (AEPD) por "dejar al descubierto" datos personales y financieros de 4,5 millones de visitantes y casi mil agencias de viajes por un fallo en su web oficial de entradas.

Esta denuncia coincide con la solicitud efectuada por el patronato que gestiona el recinto monumental granadino a la empresa encargada de gestionar dicha web de un informe sobre el error de seguridad detectado por un grupo de hackers, además de una auditoría tanto interna como externa de su gestión.

En su denuncia, la asociación recuerda que, de acuerdo a la normativa europea vigente, el tratamiento de los datos personales sólo puede darse si el interesado ha dado su consentimiento explícito para hacerlo, o si es necesario para ejecutar el contrato, para cumplir alguna obligación legal, proteger los intereses vitales del interesado o de otra persona o por interés público.

Facua indica también en un comunicado que las infracciones que supongan una vulneración sustancial de lo que aparece recogido en el artículo 6 del Reglamento de la UE están consideradas como "muy graves", de acuerdo a la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales.

La asociación ha puesto pone de manifiesto en su escrito también que el Patronato, al conocer la irregularidad, debería haber comunicado lo ocurrido a la AEPD y a todos los usuarios que podrían verse afectados, "a más tardar 72 horas después de que haya tenido constancia de ella".