https://static.elcomercio.es/www/menu/img/tecnologia-desktop.jpg

La Alhambra investiga la brecha de seguridad en su web de venta de entradas

Entradas para acceder a la Alhambra de Granada./
Entradas para acceder a la Alhambra de Granada.

El Patronato del monumento asegura que, de haber existido esta problemática, asunto que aún están estudiando, ya se ha subsanado | La Junta de Andalucía sí reconoce la existencia de este «desafortunado incidente» y asegura que está «en vías de solución»

SARAI BAUSÁN GARCÍAGranada

Los datos de 4,5 millones de visitantes y casi un millar de agencias de viajes han estado estado expuestos y desprotegidos durante dos años a través de la página web oficial de venta de entradas de la Alhambra. Así lo asegura el diario El Confidencial, aunque fuentes del Patronato no confirman, por el momento, este supuesto problema. Quien sí lo ha corroborado ha sido la consejera de Cultura y Patrimonio Histórico de la Junta de Andalucía, Patricia del Pozo, que ha lamentado el «incidente desafortunado pero perfectamente subsanable» que se ha registrado en la web de compra de entradas, si bien ha asegurado que el asunto «está en vías de solución».

La información del diario digital explica que entre estos datos que han quedado desprotegidos se encontraban números de cuenta corriente, contraseñas, nombres y apellidos, teléfonos móviles, emails y direcciones postales, entre otros muchos aspectos más. Así, la Alhambra ha protagonizado una de las mayores brechas de seguridad de España en los últimos años.

Seguimiento «directísimo»

Durante una visita a La Alcazaba de Almería, la consejera de Cultura ha asegurado que desde el Gobierno andaluz han iniciado un seguimiento «directísimo» sobre este asunto una vez han tenido conocimiento del mismo. «Se han pedido explicaciones por escrito a la empresa de este incidente para ver las medidas de seguridad y por supuesto hemos contactado con la Agencia Andaluza y la Nacional de Protección de Datos», ha explicado Del Pozo, quien confían que en breve todo quede «resuelto»

El Patronato de la Alhambra ha pedido por escrito a la empresa adjudicataria del servicio, Hiberus Tecnologías de la Información y Sicomoro Servicios Integrales, un informe detallado de los hechos, así como de las primeras medidas adoptadas para corregir dicho incidente y todas las medidas de seguridad necesarias. Además, se realizará una auditoría interna y externa que garantice que el sistema es «seguro y eficaz», que se evita cualquier tipo de ataque y que da cumplimiento del Esquema Nacional de Seguridad, tal y como exige el Pliego de Prescripciones Técnicas del contrato.

La empresa también deberá documentar en este informe que le han requerido desde el Patronato los pasos que han realizado para que la plataforma sea segura y dar traslado así a Andalucía CERT y la Agencia Española de Protección de Datos (AEPD). A pesar de no confirmar por le momento este supuesto error, el Patronato sí deja claro que, «de haber existido esta brecha de seguridad», ya se habría subsanado.

El Ayuntamiento piden explicaciones

El alcalde de Granada, Francisco Cuenca, ha pedido explicaciones al Patronato sobre este incidente y la «repercusión» que puede tener sobre la imagen del mismo. En un acto como candidato a la Alcaldía, Francisco Cuenca ha señalado que quiere «conocer con detalle» qué incidencia «tiene en la repercusión de la imagen global» del monumento esta circunstancia, que ha indicado que ha recibido «con alerta y con preocupación».

Cuenca ha detallado que en la mañana de este miércoles se ha puesto en contacto con la directora del Patronato de la Alhambra y el Generalife, Rocío Díaz, también para conocer «qué medidas se ponen en marcha para garantizar que eso no pase».

Detectado por La9

Hiberus Tecnología. tiene sede en Zaragoza y cerró en abril de 2017 un acuerdo con la Junta para gestionar y mantener este servicio junto a la empresa Sicomoro Servicios Integrales, filial de Hiberos.

El fallo fue detectado por el grupo de hacker 'La9', vinculado a 'Anonymus'. El conjunto pudo comprobar que este problema afectaba desde 2017 a la página web de venta de entradas de la Alhambra, monumento que solo el pasado año visitaron 2,7 millones de personas. Según la información publicada por El Confidencial, el agujero de seguridad hacía la web vulnerable a tres modalidades diferentes de inyecciones SQL, un tipo de ataque que permite acceder a los datos almacenados en servidores web añadiendo código malicioso.

Visitantes y agencias de viajes

Este problema no solo ha afectado a los visitantes que a título personal se han hecho con una entrada a través de la página web de la Alhambra en los últimos dos años, sino también a todas las agencias de viajes que han utilizado este servicio. De ese modo, mientras que los datos que han estado sin proteger de los usuarios particulares han sido todos aquellos usados para reservar sus entradas, es decir, DNI, nombre, número de teléfono, email, edad, sexo, entre otros, el caso por parte de las agencias de viaje ha sido más problemático aún porque esta brecha ha permitido acceder a sus números de cuenta corriente e IBAN y sus contraseñas de acceso a la plataforma. «En ambos casos, la información expuesta era accesible para cualquiera con mínimos conocimientos informáticos», explican desde El Confidencial.

El error ya ha sido subsanado y los datos de los clientes vuelven a estar protegidos, pero ahora queda por conocer qué consecuencias tendrá para el servicio que Hiberos tiene otorgado hasta el próximo mes de julio. Un trabajo por el que cobra alrededor de un millón de euros anuales en concepto de comisión del 5% por cada entrada vendida.