Un ciberataque de origen «externo, intencionado y doloso» puso en jaque al Consejo Regional de Transportes de Madrid. El Consorcio Regional de Transportes de Madrid ha confirmado que ha sido víctima de un ciberataque por el que se han visto comprometidas las bases de datos con información de los titulares de Tarjetas de Transporte Público.
En un comunicado, el Consorcio asegura que se establecieron las medidas necesarias para paliar los efectos del ataque y se «procedió a diseñar e implementar medidas adicionales de seguridad, técnicas y organizativas». Al mismo tiempo, se a denunciaron los hechos ante el Cuerpo Nacional de Policía y se comunicó la falla de seguridad a la Agencia Española de Protección de Datos.
El ataque y sus efectos.
El ataque se dio en la madrugada del 22 de noviembre de 2023 y parece ser que «fue neutralizado el mismo día gracias al trabajo de los equipos técnicos». El consorcio cumplió con la obligación de la legislación en materia de protección de datos obliga a las empresas que han sido víctimas de un ciberataque deben publicar estas fallas, de ahí el comunicado en la web.
El Consorcio afirma también que, «hasta la fecha actual, no hay constancia de la materialización de un perjuicio efectivo para ninguna de las personas que pudieran estar afectadas». No obstante, señala, estos datos se pueden poner a la venta y existe riesgo de que los afectados reciban comunicaciones no deseadas o ser víctimas de campañas de phishing o suplantación de identidad. «Se recuerda que el Consorcio Regional de Transportes nunca solicita información sobre las claves de acceso, incluidos los supuestos de cuentas bancarias o el pin de tarjetas de crédito o débito». Por lo que se hace un llamamiento a extremar la precaución con los datos personales.
El Consorcio de transportes asegura que «no se ha podido evidenciar el contenido exacto de la posible extracción efectuada como consecuencia del ataque, aunque existen evidencias de la extracción de información de bases de datos de titulares de Tarjetas de Transporte Público de la Comunidad de Madrid con datos identificativos (nombre, apellidos, domicilio, correo electrónico, teléfono, localidad y provincia, código postal, …) y de ventas de títulos de transporte». En ningún caso parece que se hayan podido acceder a datos bancarios. Pese a todo el Consorcio no ha dado datos exactos del número de afectados, pero puede ser de miles de personas.
Refuerzo de la medidas de seguridad.
El encargado del tratamiento de los datos personales ha comunicado que se trata de una incidencia de ciberseguridad que ha afectado a la confidencialidad de los datos personales, ha indicado el organismo regional dependiente de la Consejería de Vivienda, Transportes e Infraestructuras. No obstante, se han estado reforzando las medidas de seguridad; resulta incomprensible el porqué no se ha informado anteriormente de este ciberataque, habiéndose tenido constancia esa misma noche al haber instaurado las primeras medidas para sofocar el acceso.
Se hace un llamamiento a todos los usuarios de transporte público de Madrid. Para evitar situaciones de «phising» o estafas mediante el uso de los datos personales sustraídos.
