La Alhambra realizará una auditoría para estudiar la brecha de seguridad en la web que vende las entradas

La Alhambra realizará una auditoría para estudiar la brecha de seguridad en la web que vende las entradas

El Patronato asegura que, de haber existido esta problemática, asunto que aún están estudiando, ya se ha subsanado | La Junta sí reconoce la existencia de este «desafortunado incidente» y asegura que está «en vías de solución»

Sarai Bausán García
SARAI BAUSÁN GARCÍAGranada

Los datos de 4,5 millones de visitantes y casi un millar de agencias de viajes han estado estado expuestos y desprotegidos durante dos años a través de la página web oficial de venta de entradas de la Alhambra. Así lo asegura el diario El Confidencial, aunque fuentes del Patronato no confirman, por el momento, este supuesto problema. Quien sí lo ha corroborado ha sido la consejera de Cultura y Patrimonio Histórico de la Junta de Andalucía, Patricia del Pozo, que ha lamentado el «incidente desafortunado pero perfectamente subsanable» que se ha registrado en la web de compra de entradas, si bien ha asegurado que el asunto «está en vías de solución».

La información del diario digital explica que entre estos datos que han quedado desprotegidos se encontraban números de cuenta corriente, contraseñas, nombres y apellidos, teléfonos móviles, emails y direcciones postales, entre otros muchos aspectos más. Así, la Alhambra ha protagonizado una de las mayores brechas de seguridad de España en los últimos años.

Seguimiento «directísimo»

Durante una visita a La Alcazaba de Almería, la consejera de Cultura ha asegurado que desde el Gobierno andaluz han iniciado un seguimiento «directísimo» sobre este asunto una vez han tenido conocimiento del mismo.

«Se han pedido explicaciones por escrito a la empresa de este incidente para ver las medidas de seguridad y por supuesto hemos contactado con la Agencia Andaluza y la Nacional de Protección de Datos», ha explicado Del Pozo, quien confían que en breve todo quede «resuelto».

Brecha de seguridad

El Patronato de la Alhambra ha pedido por escrito a la empresa adjudicataria del servicio, Hiberus Tecnologías de la Información y Sicomoro Servicios Integrales, un informe detallado de los hechos, así como de las primeras medidas adoptadas para corregir dicho incidente y todas las medidas de seguridad necesarias. Además, se realizará una auditoría interna y externa que garantice que el sistema es «seguro y eficaz», que se evita cualquier tipo de ataque y que da cumplimiento del Esquema Nacional de Seguridad, tal y como exige el Pliego de Prescripciones Técnicas del contrato.

La empresa también deberá documentar en este informe que le han requerido desde el Patronato los pasos que han realizado para que la plataforma sea segura y dar traslado así a Andalucía CERT y la Agencia Española de Protección de Datos (AEPD). A pesar de no confirmar por le momento este supuesto error, el Patronato sí deja claro que, «de haber existido esta brecha de seguridad», ya se habría subsanado.

El Ayuntamiento piden explicaciones

El alcalde de Granada, Francisco Cuenca, ha pedido explicaciones al Patronato sobre este incidente y la «repercusión» que puede tener sobre la imagen del mismo.

A preguntas de los periodistas sobre este tema, en un acto como candidato a la Alcaldía, Francisco Cuenca ha señalado que quiere «conocer con detalle» qué incidencia «tiene en la repercusión de la imagen global» del monumento esta circunstancia, que ha indicado que ha recibido «con alerta y con preocupación».

Cuenca ha detallado que en la mañana de este miércoles se ha puesto en contacto con la directora del Patronato de la Alhambra y el Generalife, Rocío Díaz, también para conocer «qué medidas se ponen en marcha para garantizar que eso no pase».

Detectado por La9

Hiberus Tecnología. tiene sede en Zaragoza y cerró en abril de 2017 un acuerdo con la Junta para gestionar y mantener este servicio junto a la empresa Sicomoro Servicios Integrales, filial de Hiberos.

El fallo fue detectado por el grupo de hacker 'La9', vinculado a 'Anonymus'. El conjunto pudo comprobar que este problema afectaba desde 2017 a la página web de venta de entradas de la Alhambra, monumento que solo el pasado año visitaron 2,7 millones de personas. Según la información publicada por El Confidencial, el agujero de seguridad hacía la web vulnerable a tres modalidades diferentes de inyecciones SQL, un tipo de ataque que permite acceder a los datos almacenados en servidores web añadiendo código malicioso.

Por su parte, Hiberus asegura que no fue hasta el pasado viernes cuando se enteraron de la existencia de esta brecha de seguridad, día en el que El Confidencial se puso en contacto con ellos para comentarles la incidencia. «Pero lo corregimos en apenas dos horas o así», explican desde la compañía. Asimismo, aseguran que han puesto en marcha todos los protocolos previstos y están evaluando el alcance del mismo, aunque aseguran que los datos aportados por el diario digital en cuanto a usuarios afectados «es inventado». «Ha habido una vulnerabilidad y la corregimos en seguida, por lo que queremos transmitir un mensaje de tranquilidad. Ahora estamos evaluando el problema y colaborando con el Patronato. Además, se ha solucionado ya todo y hemos aplicado todas las medidas necesarias no solo en la página de la Alhambra, sino en todas las que hayan podido tener el mismo error», explican.

Visitantes y agencias de viajes

Este problema no solo ha afectado a los visitantes que a título personal se han hecho con una entrada a través de la página web de la Alhambra en los últimos dos años, sino también a todas las agencias de viajes que han utilizado este servicio. De ese modo, mientras que los datos que han estado sin proteger de los usuarios particulares han sido todos aquellos usados para reservar sus entradas, es decir, DNI, nombre, número de teléfono, email, edad, sexo, entre otros, el caso por parte de las agencias de viaje ha sido más problemático aún porque esta brecha ha permitido acceder a sus números de cuenta corriente e IBAN y sus contraseñas de acceso a la plataforma. «En ambos casos, la información expuesta era accesible para cualquiera con mínimos conocimientos informáticos», explican desde El Confidencial.

El error ya ha sido subsanado y los datos de los clientes vuelven a estar protegidos, pero ahora queda por conocer qué consecuencias tendrá para el servicio que Hiberos tiene otorgado hasta el próximo mes de julio. Un trabajo por el que cobra alrededor de un millón de euros anuales en concepto de comisión del 5% por cada entrada vendida.