Tribunales

Consecuencias y recorrido legal de la brecha de seguridad que destapó hasta los datos del Rey

Juristas expertos en protección de datos e internet detallan a Radio Madrid qué protocolo se sigue y qué ha fallado en el error de la web de la Consejería de Sanidad que permitió acceder a datos personales de miles de madrileños, entre ellos del Rey y del presidente del Gobierno

La presidenta de la Comunidad de Madrid, Isabel Díaz Ayuso, junto a los consejeros, Javier Fernández-Lasquetty y Enrique López. / Marta Fernández - Europa Press - Archivo

Madrid

El fallo de seguridad de la web de la Consejería de Sanidad de la Comunidad de Madrid, que dejó al descubierto datos personales de miles de ciudadanos, entre ellos el Rey Felipe VI y el presidente del Gobierno, no supondrá, muy probablemente, sanción alguna para el Ejecutivo regional. Así lo creen varios de los juristas expertos en la materia consultados por Radio Madrid, quienes señalan lo peligroso de errores como este y muestran su sorpresa ante la facilidad con la que se podía acceder a estos datos.

Es muy posible que el diseño de la web de la Consejería no cumpla con el Esquema Nacional de Seguridad, que establece las normas de seguridad que deben implantar tanto las instituciones públicas como las empresas privadas que contraten con ellas. "Entiendo que no se ha cumplido, porque si se hubiera cumplido, este desastre no se habría producido", indica Paloma Llaneza, jurista especializada en protección de datos e internet.

Ese esquema establece unos protocolos de seguridad de tres niveles. En el más alto de ellos están los datos que se refieren a la salud de las personas, pero en este caso bastaba con el DNI de aquel cuyos datos se quisieran obtener y un programa proxy. Los programas como este, comunes entre programadores y ciberdelincuentes, son un software que analiza el ordenador del usuario y algunos pueden descargarse de manera gratuita en internet.

La Comunidad ha señalado reiteradamente que la información estaba sesgada, incluso en las primeras horas la tachó de bulo, porque no era cierto que se pudiera acceder con facilidad a estos datos. En parte porque se exigía conocer el DNI del afectado. "El DNI no es un dato que nos proteja a efectos de decir, 'como la búsqueda era por DNI, no se podía encontrar a nadie en concreto.' Para nada, en absoluto", remarca Leandro Núñez, abogado especialista en protección de datos. Lo habitual al diseñar estos sistemas es emplear como parámetro un número aleatorio y no un dato como este, asociado a la persona. Que el parámetro sea el DNI "no suele ser la mejor idea."

Hasta hace poco, para obtener el número del Documento Nacional de Identidad de alguien bastaba con que le multaran y no pudieran notificarle la sanción en su domicilio. En esos casos, el DNI salía publicado en el boletín oficial. "He visto los accesos que hacían los medios de comunicación y no parecía complicado. Hay un fallo de diseño del sistema, porque parte de la base de que el DNI es un dato que solo sabe su poseedor, lo que no es cierto", coincide Llaneza.

La Agencia Española de Protección de Datos no multa a la Administración pública

El pasado mes de marzo, una brecha de seguridad le supuso a Vodafone España una multa de más ocho millones de euros. La Agencia Española de Protección de datos, el órgano que suele actuar en estos casos, es muy dura con este tipo de errores; pero no puede sancionar a las administraciones públicas, solamente abrirles una investigación y apercibirlas si han errado. La norma se redactó así por considerar que la caja del Estado es única y compartida por todos, que no tenía sentido que un organismo público multara a otro si se pagaba con el mismo dinero. Sin embargo, existen otras materias en las que sí se sanciona a las instituciones públicas incumplidoras, como en asuntos de medioambiente.

"Es un sistema injusto", opina el experto en delitos informáticos Carlos Sánchez Almeida. Sánchez Almeida reclama un modo más eficiente de depurar responsabilidades cuando un Gobierno no actúa con la debida diligencia. Porque la vía penal, la denuncia presentada por Telemadrid, está a su juicio y al de otros expertos lejos de tener recorrido. El Derecho Penal está pensado para quienes atacan un sistema, no para quienes lo desarrollan mal, indican las fuentes consultadas.

"Uno de los grandes problemas que tenemos en seguridad informática es que tanto los desarrolladores de software, como quien implanta ese sistema, no tiene una responsabilidad por hacerlo de manera perezosa o incorrecta", subraya Llaneza. La única vía penal posible sería a través de la obligación de custodia de los datos por parte de la Administración, pero esta exige que un funcionario revele información a sabiendas y no por un error, como ha sucedido en este caso. El Código Penal sí castiga claramente en su artículo 197 a quienes hayan entrado burlando la seguridad para hacerse con esos datos personales o modificarlos.

"No estamos ante un ataque, sino ante un sistema que no se diseña con la robustez que merece. Normalmente esto pasa porque hay prisa para sacarlo o porque se reutiliza un sistema anterior que no requería tanta seguridad", explica Leandro Nuñez.

La otra vía posible para exigir responsabilidades a una administración pública que, por un problema de seguridad, no proteja correctamente los datos de los ciudadanos, es la civil. Un afectado puede reclamar una indemnización. No obstante, tampoco este es un camino sencillo, porque hay que acreditar que se han sufrido daños y perjuicios.

"Si te meten en un fichero de morosos, por ejemplo, puedes alegar que han dañado tu reputación; pero si simplemente hay un error de programación en una web, y no sabes si alguien ha podido acceder a tus datos, demostrar que has sufrido un daño es muy complejo", argumenta Núñez.

A qué estoy expuesto si me han robado los datos que quedaban al descubierto con esta brecha

Los errores de esta naturaleza, coinciden los expertos, son cada vez más frecuentes. La cada vez mayor, e inevitable, informatización de todos los procesos lo hace posible. La brecha de la Consejería permitía ver el número de teléfono, el de la Seguridad Social, direcciones en las que ha vivido, quién le vacunó y en qué brazo. Con datos como esos estamos expuestos a numerosos ataques.

Alguien que los obtuviera y quisiera delinquir con ellos podría hacerse pasar por otra persona, contratar teléfonos móviles e incluso créditos. "Últimamente vemos muchas estafas de uso de este tipo de información para abrir cuentas de crédito, comprar bienes de consumo... Esto hace que cualquiera de nosotros se pueda encontrar con una deuda que no ha generado", advierte Paloma Llaneza.

 
  • Cadena SER

  •  
Programación
Cadena SER

Hoy por Hoy

Àngels Barceló

Comparte

Compartir desde el minuto: 00:00