Un agujero en la seguridad del Mad Cool filtra los datos personales de “cientos” de compradores

A las tres de la tarde del martes, Cecilia Castelló, de 48 años, se dispuso a bajarse sus entradas para el 8 de julio del festival de música Mad Cool, a 79 euros por cabeza, más 7,90 de gastos de gestión. “Fui de las primeritas, porque el correo de [la plataforma de venta de entradas] Ticketmaster en el que se informaba de que ya se podían descargar las pulseras me entró a las 14.42″, cuenta. “Para recibirlas además físicamente por Correos, había que confirmar la dirección postal ‘de una forma muy sencilla’, decían, en la web Mad Cool Area, así que me metí y vi que no salía el piso, le di a modificar y me aparecieron los datos de otra persona completamente distinta, nombre, DNI, dirección, teléfono, ¡todo! Me quedé flipando, me asusté y lo cerré. Lo volví a intentar y me salieron los de otra persona, así hasta tres veces más”, prosigue.

Esta asistente al macroevento, que se celebrará del 6 al 8 de julio en la nueva ciudad de la música de Villaverde tras varias ediciones en Valdebebas, envió un mail a Ticketmaster. “A las 16.00 me confirmaron que habían localizado la incidencia, que estaban trabajando en ello y que disculpara las molestias. Y yo lo leía pensando ¡pero madre de mi vida, si esto es una filtración brutal!”, comenta. Porque no era un hecho puntual que le hubiera pasado a ella sola, sino un error técnico “gravísimo” que hizo que los compradores de los abonos para todo el festival y de las entradas de un día accedieran a los datos de otras personas. No solo los datos de un número indeterminado de compradores quedaron expuestos, sino que se podían descargar las pulseras y cambiar las direcciones para que acabaran en manos de terceros. Castelló no lo intentó, pero entiende que podía hacerse.

Mientras, la alarma saltaba en Twitter, donde el cabreo iba en aumento. “¿Alguien está intentando sacar las pulseras del Mad Cool y le salen los datos de otras personas? La ley de protección de datos bien, ¿no?”, se quejaba una compradora. “Increíble, filtrando los datos de la gente. Entras con tu email y pedido y, cada vez que cargas, datos una persona diferente”, criticaba otro, a lo que respondían “peor aún, no hace falta ni introducir datos”. “Tenéis un bug [error en el código de una web] que permite ver entradas que no son las tuyas y los datos de otras personas”, alertaba otra usuaria.

Tras dos horas y media con semejante agujero de seguridad, Mad Cool cerró el acceso. “A las 17.26 recibí un correo en el que se informaba del cierre de la plataforma”, confirma Castelló. “Tu entrada no le llegará a otra persona, puedes estar tranquilo. Los abonos o entradas que hayan sido descargados no serán válidos. Nadie ha podido acceder al código de tu entrada/s. Te informaremos tan pronto la plataforma esté activa”, decía el comunicado a los afectados.

¿Cuántos hubo? Una portavoz del festival, que lo califica de “brecha de seguridad bastante leve”, no concreta la cifra porque no la tienen “confirmada al 100%”, pero asegura que “son menos de miles, no es una cifra tan grande, no llega a cientos”. La portavoz tampoco tiene “datos oficiales” de cuántas entradas y abonos se han puesto a la venta ni de cuántas se han despachado. “Solo sabemos que los abonos se están agotando, la venta está al 90%, entradas de un día sí hay más disponibles”.

La organización afirma que ha seguido “en todo momento el protocolo establecido por la Agencia Española de Protección de Datos (AEPD), asesorados por la gestoría Audidat”. Borja Adsuara, abogado experto en derecho digital y privacidad, opina que se trata de “una infracción clarísima” de la Ley de Protección de Datos, en concreto del deber de guardar secreto. “Muy grave no es, pero para determinar si es leve o grave, la AEPD, que puede actuar de oficio o tras la presentación de una denuncia, valora si ha sido un fallo técnico o humano, si son reincidentes, si es esporádico o sistemático, si se tomaron medidas previas para evitarlo o correctoras con rapidez...”, detalla Adsuara, por lo que esta “negligencia” puede quedarse en una sanción leve o un mero apercibimiento.

Por su parte, una portavoz de la AEPD indica que “no puede pronunciarse a priori sobre asuntos concretos que no ha analizado en profundidad”, pero confirma que ha recibido “varias denuncias sobre este asunto” y está evaluando “si se admiten o no a trámite”. “Si son admitidas, se seguirá el procedimiento previsto en el título VIII de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales”.

A mediodía de este miércoles, el festival ha dado por subsanado el error. “El problema está bajo control y solucionado, la plataforma funciona con total normalidad desde esta mañana, menos de 24 horas después de detectarse el fallo, y todos los usuarios pueden actualizar lo que necesiten con total seguridad”, señala la portavoz. Aunque no ha recibido ningún correo más, Castelló se ha descargado sus entradas sobre las dos de la tarde sin sorpresas.

En un comunicado, la organización explica que el “problema técnico” se detectó a las 14.45 y que “se procedió a cerrar la plataforma en cuestión de minutos para corregirlo”, al tiempo que delega toda responsabilidad en la empresa externa Casfid Servicios Tecnológicos SLU, “encargada de la programación, gestión y funcionamiento” del Mad Cool Area. “La empresa, en la cual se alojan algunos de los datos personales de los compradores, asume el fallo interno que ha provocado esta parcial exposición de datos, causada por un problema técnico en un microcacheo que realiza el servidor donde está alojado el formulario tras una migración de DNS”, añade el festival. Es decir, que el formulario estaba en un servidor y los datos, en otro, y que al actualizarlo, se accedía a otro formulario consultado previamente por un problema en la memoria caché.

Los organizadores aseguran que “los datos bancarios no han sido expuestos” y sostienen que “todos los compradores tendrán su entrada y su pulsera válida y nadie recibirá en su domicilio pulseras que no correspondan”. “No hay ni va a haber duplicidad, las entradas descargadas no son de otras personas, la gente solo ha podido descargarse su propia entrada, aunque pudiera ver datos de otros”, asegura la portavoz. El festival afirma estar “contactando personalmente con los afectados” para revisar “caso por caso”. Pueden dirigirse a contacto@casfid.es “para cualquier cuestión derivada de la parcial exposición de datos personales” y a pulseras@madcool.es para dudas sobre la recepción de las pulseras.

Ticketmaster también alega que es un problema ajeno a su empresa, ya que ellos solo se encargaban de comunicar la habilitación del acceso al sistema: “La ticketera realiza labores como intermediario entre promotores y fans, pero Ticketmaster no es responsable del error”. Dichas fuentes añaden que “el problema no ha afectado a la venta de entradas, responsabilidad de Ticketmaster, que ha funcionado con total normalidad”. En el momento de la adquisición, Ticketmaster ya envía las entradas, que luego pueden volverse a descargar o solicitar físicamente a Mad Cool Area.

A Castelló nunca le había pasado nada igual a la hora de comprar entradas por internet, pero no está preocupada. “Es que soy muy confiada. También es verdad que el dato de la tarjeta no sale, que es lo que más me asustaría”, confiesa. Aunque recuerda que no es el primer fallo de organización del Mad Cool ―”es un asunto recurrente”―, no se le han quitado las ganas de ir. “Traen un buen cartel”. La sexta edición del Mad Cool incluye nombres como Liam Gallagher, Robbie Williams, Sam Smith, Mumford&Sons, The Prodigy, Red Hot Chili Peppers y The Black Keys.

Suscríbete aquí a nuestra newsletter diaria sobre Madrid.