Un fallo de seguridad en una web relacionada con el servicio de autocita Covid de la Comunidad de Madrid que gestiona la empresa Indra ha dejado a la vista los datos personales de los pacientes de dicha región. La compañía ha cortado el servicio de dicha web al percatarse de la vulneración en el trato de los datos.
La web en cuestión se encontraba accesible públicamente, cuando no debería estarlo, sin ningún tipo de restricción, según confirman fuentes del sector de la ciberseguridad. Simplemente manipulando un parámetro, el DNI, se podía tener acceso a la información personal de los pacientes de la Comunidad de Madrid, admiten las mismas fuentes
En concreto, a través de dicho proceso, eran accesibles datos como nombre y apellidos, dirección, teléfono e incluso el número de la seguridad social de los pacientes. Este registro da acceso al historial médico de cada uno de ellos.
Fuentes oficiales de Indra reconocen la existencia de una "incidencia en el programa de autocitas", si bien señalan que "inmediatamente se ha cerrado dicho programa, y permanecerá así mientras se esté solucionando dicha incidencia". Desde la compañía tecnológica admiten que "no se ha producido ninguna repercusión ni incidente relevante ni vulneración de ninguna base de datos personales".
elEconomista ha tenido acceso a los datos que se derivan de dicha vulneración, quedando visibles los datos de, entre otros, Mariano Rajoy, el Rey Felipe VI o Pablo Iglesias, tal y como se puede ver en las capturas de pantalla anexas.
