El consorcio de transportes de Madrid alerta en febrero de un ciberataque de noviembre que comprometió los datos de los viajeros

El Consorcio Regional de Transportes (CRTM) de Madrid ha alertado este mes de febrero de un ciberataque que sufrió la madrugada del 22 de noviembre y que comprometió los datos de los viajeros titulares de tarjeta de transporte. Entre enero y septiembre de 2023, se registraron en la región 57.299 delitos de esta índole, lo que suponen un 19% más que los contabilizados en el mismo periodo del año pasado, según datos de la Comunidad de Madrid. El Gobierno regional justifica que hayan pasado tres meses entre el ataque y su comunicación pública con el argumento de que hay una investigación abierta tras la correspondiente denuncia a la Policía y a la Agencia de protección de datos, por lo que se ha procedido al anuncio cuando así lo ha indicado esta última institución.

“Se han visto comprometidas las bases de datos que contienen información de los titulares de tarjetas de transporte público”, reconoce el ente en un comunicado publicado el 14 de febrero en su página web. “El encargado del tratamiento de los datos personales comunica que se trata de una incidencia de ciberseguridad, constatándose un ciberataque de origen externo, intencionado y doloso, que ha afectado a la confidencialidad de los datos personales”, prosigue.

“No se ha podido evidenciar el contenido exacto de la posible extracción efectuada como consecuencia del ataque, aunque existen evidencias de la extracción de información de bases de datos de titulares de tarjetas de transporte público de la Comunidad de Madrid con datos identificativos (nombre, apellidos, domicilio, correo electrónico, teléfono, localidad y provincia, código postal, …) y de ventas de títulos de transporte”, añade.

Aunque el consorcio asegura que no tiene constancia de que haya habido problema alguno como resultado de la fuga de datos, el riesgo es evidente: desde recibir comunicaciones no deseadas, a ser víctima de un intento de phishing o suplantación de identidad aprovechando toda la información recabada durante el ataque.

Esto dice un portavoz del gobierno regional: “No tenemos constancia del uso indebido de esos datos. El Consorcio ha seguido en todo momento el procedimiento que prescribe la normativa de protección de datos de carácter personal, y en particular los requerimientos que en este supuesto ha efectuado la agencia española de protección de datos a este organismo. Cumpliéndose fielmente los plazos que la misma otorgado para la ejecución de cada una de las actividades requeridas”.

El ciberataque sufrido por esta entidad se produjo apenas un mes después de que la emisión de Telemadrid se cayera durante tres horas como consecuencia de una acción similar. El incidente también afectó a Onda Madrid, la radio pública regional. Al calor de esos incidentes, el Gobierno de Isabel Díaz Ayuso justificó la necesidad de impulsar el pasado diciembre una agencia de ciberseguridad autonómica encargada de configurar un Equipo de respuesta a incidentes de ciberseguridad (CSIRT, por sus siglas en inglés) para toda la Comunidad de Madrid.

Estos expertos, detallaba el Gobierno en una nota, “serán los encargados de recibir, revisar y replicar a todos los informes y actividades sobre los sucesos que se registren en el territorio y colaborar con las entidades atacadas para que logren recuperar la normalidad en las operaciones y estén preparadas en el futuro para evitar nuevas incidencias”. Y añadía: “Esta estructura estará también enfocada en reforzar la protección informática de las infraestructuras más relevantes, con especial atención en el área de salud por su criticidad”. Aunque la agencia de ciberseguridad autonómica fue aprobada por la Asamblea regional a finales de año, pues el PP goza de mayoría absoluta, aún no trabaja a pleno rendimiento.

¿La razón? El Gobierno tuvo que dar marcha atrás en el nombramiento de su consejero delegado, al desvelar EL PAÍS que se había elegido para el puesto a un general jubilado de la Guardia Civil salpicado por el caso Zabalza. Por ahora, ese puesto sigue vacante.

Suscríbete aquí a nuestra newsletter diaria sobre Madrid.