ELDIARIO.ES| El portal habilitado por la Comunidad de Madrid para obtener el certificado digital COVID, puesto en marcha el 7 de junio, permitía a cualquier usuario acceder a datos personales de miles de ciudadanos. Un fallo de programación hacía posible que al introducir un número de DNI en la url del sistema, este devolviera el nombre completo de la persona a la que pertenece ese DNI, su dirección, su teléfono móvil y el fijo.
De esta forma, introduciendo un número de DNI como el del rey Felipe VI (la familia real ostenta los números a partir del 10, que corresponde a Juan Carlos de Borbón) la página devolvía los datos en bruto con su nombre, Felipe de Borbón y Grecia, su teléfono móvil y su residencia en el Palacio de la Zarzuela, sin número. Introduciendo números de DNI aleatorios se podía acceder a los mismos datos de otros ciudadanos.
La Comunidad de Madrid ha bloqueado el acceso al portal del certificado COVID durante la tarde de este jueves tras recibir una alerta sobre la existencia de la brecha. Fuentes del sector de la ciberseguridad habían informado a elDiario.es sobre el fallo de programación apenas unos minutos antes. La página ha pasado a estar inactiva mientras este medio revisaba el alcance de la filtración de datos antes de comunicarlo a la Consejería de Sanidad, que por el momento no ha contestado a los requerimientos de información.
El certificado COVID da facilidades para viajar entre países de la Unión Europea en tres supuestos: si se tiene la pauta de vacunación contra la COVID-19 completa; si se tiene una PCR o test de antígenos negativos; o si se acredita que se ha superado la infección en los últimos 6 meses. Puede utilizarse con una aplicación móvil digital o en papel.
La brecha que ha afectado al portar que permitía obtener el certificado expedido por la Comunidad de Madrid es muy similar a la que sufrió el sistema de autocita para la vacunación de la administración regional que dirige Isabel Díaz Ayuso, revelada por este medio. Entonces, otro error de programación permitía acceder a los datos personales (nombre completo, DNI, fecha de nacimiento y número de teléfono) de los ciudadanos introduciendo códigos de identificación sanitaria aleatorios en el sistema.
La Comunidad de Madrid corrigió ese fallo tras el aviso de elDiario.es. Fuentes de la Consejería de Sanidad aseguraron que «no fue explotada por nadie». «Si hubiera actuado un actor malicioso nuestro SOC (Centro de operaciones de ciberseguridad) que monitoriza nuestros sistemas de información ininterrumpidamente, lo hubiera detectado», insistieron.
