La Alhambra asegura que un informe constata que «no ha habido un acceso a datos de carácter personal» en su web

Según la información publicada por El Confidencial, los datos de 4,5 millones de visitantes y casi un millar de agencias de viajes han estado estado expuestos y desprotegidos durante dos años a través de la página web oficial de venta de entradas de la Alhambra.

La información del diario digital explica que entre estos datos que han quedado desprotegidos se encontraban números de cuenta corriente, contraseñas, nombres y apellidos, teléfonos móviles, emails y direcciones postales, entre otros muchos aspectos más. Así, la Alhambra ha protagonizado una de las mayores brechas de seguridad de España en los últimos años.

Desde el Patronato de la Alhambra inciden en que no se puede hablar de brecha de seguridad, sino de un «incidente de seguridad». Según han explicado en una nota de prensa, en el informe preliminar aportado por la empresa y tras las investigaciones realizadas y las accidentes aplicadas, sí se constata la existencia de un incidente de seguridad que ya se ha corregido. Pero quieren dejar claro que «no ha habido acceso a datos de carácter personal», y que este este suceso no se puede calificar como «brecha de confidencialidad en los términos de la normativa vigente».

«En todo caso, y sin perjuicio de las posteriores investigaciones que se realizarán para averiguar el origen, impacto y posible difusión a terceros de datos personales, el informe recomienda efectuar una comunicación de la incidencia a la Agencia Española de Protección de Datos«, explican.

En este informe también se indica que el posible intento de acceso a la base de datos se habría efectuado entre los días 18 al 22 de febrero.

No obstante, y con el objetivo de esclarecer lo antes posible lo ocurrido y evitar posibles incidentes futuros, el Patronato de la Alhambra y Generalife continuará con las acciones anunciadas esta mañana, entre las que se incluye una auditoria interna y externa por parte de la empresa adjudicataria del servicio que garantice que el sistema sea seguro y eficaz, y evite cualquier tipo de ataque y dé cumplimiento del Esquema Nacional de Seguridad, tal y como exige el Pliego de Prescripciones Técnicas del contrato.

El fallo fue detectado por el grupo de hacker 'La9', vinculado a 'Anonymus'. El conjunto pudo comprobar que este problema afectaba desde 2017 a la página web de venta de entradas de la Alhambra, monumento que solo el pasado año visitaron 2,7 millones de personas. Según la información publicada por El Confidencial, el agujero de seguridad hacía la web vulnerable a tres modalidades diferentes de inyecciones SQL, un tipo de ataque que permite acceder a los datos almacenados en servidores web añadiendo código malicioso.

Por su parte, Hiberus asegura que no fue hasta el pasado viernes cuando se enteraron de la existencia de esta brecha de seguridad, día en el que El Confidencial se puso en contacto con ellos para comentarles la incidencia. «Pero lo corregimos en apenas dos horas o así», explican desde la compañía. Asimismo, aseguran que han puesto en marcha todos los protocolos previstos y están evaluando el alcance del mismo, aunque aseguran que los datos aportados por el diario digital en cuanto a usuarios afectados «es inventado». «Ha habido una vulnerabilidad y la corregimos en seguida, por lo que queremos transmitir un mensaje de tranquilidad. Ahora estamos evaluando el problema y colaborando con el Patronato. Además, se ha solucionado ya todo y hemos aplicado todas las medidas necesarias no solo en la página de la Alhambra, sino en todas las que hayan podido tener el mismo error», indican.