En qué brazo pincharon al rey, quién vacunó a Sánchez y qué dosis recibió Rajoy: qué datos se han visto afectados por la brecha de ciberseguridad de Madrid

La Consejería de Sanidad de la Comunidad de Madrid ha reconocido una vulnerabilidad informática en uno de los portales que gestionan la campaña de vacunación contra el COVID-19. La brecha habría dejado accesibles durante un tiempo indeterminado los datos personales de miles de ciudadanos, entre ellos, los del rey Felipe VI, el presidente del Gobierno, Pedro Sánchez, o el exvicepresidente, Pablo Iglesias.

Fue Telemadridla primera en avanzar en exclusiva la información. El Gobierno regional, por su parte, reaccionó en redes sociales afirmando que se trataba de un bulo, sin concretar más la información.

Sin embargo, Indra, la prestataria del servicio, acabó reconociendo el error, que se había producido durante una actualización del portal. Posteriormente, la propia Consejería de Sanidad de la Comunidad acabó confirmando que había una vulnerabilidad que ya estaba siendo subsanada. Este jueves se están dando los pasos necesarios para depurar responsabilidades sobre el problema.

La vulnerabilidad, en concreto, era un enlace del portal de certificados COVID que no estaba cifrado. Mediante la instalación de un proxy, cualquier ciudadano podía acceder a la información que contenía la base de datos sin cifrar. Con solo poner el número de DNI se podían conocer datos personales y sanitarios de miles de madrileños. Entre los afectados, se encontraban el propio rey.

Los datos afectados van desde en qué brazo se vacunaron dichos ciudadanos, hasta qué sanitario le inyectó la vacuna, o bien cuándo recibió su dosis y de qué tipo. Se trata de la información necesaria para poder expedir el pasaporte COVID que entró en vigor en toda la Unión Europea el pasado 1 de julio.

Cómo se ha producido, qué implicaciones tiene y por qué es solo el principio: todo lo que se sabe sobre el ciberataque a Kaseya que ya afecta a más de 1.000 empresas en todo el mundo

El Economista recogió en la noche de este miércoles como Indra acababa reconociendo la existencia de "una incidencia en el programa de autocitas". Por eso el portal acabó estando inaccesible anoche, hasta que no se solucionara. La notificación de la brecha de seguridad llegó a la redacción de Telemadrid en forma de denuncia anónima.

Indra recibió la concesión del Gobierno de Isabel Díaz Ayuso para crear el sistema que expediría a los ciudadanos de la región el famoso certificado. La tecnológica española recibió 225.000 euros para ello. A nivel nacional, Indra formó parte del asesoramiento al Ministerio de Sanidad para poner en marcha el despliegue de los pasaportes a nivel comunitario, conectando los datos de las autonomías con los servidores en Bruselas. 

En dicho contrato, que todavía no ha trascendido, también trabajaron Accenture o Deloitte.