Los datos privados de más de 4,5 millones de usuarios y de casi un millar de agencias de viajes han estado desprotegidos, durante dos años, en la web oficial para la compra de entradas de la Alhambra (Granada), gestionada por un organismo adscrito a la Consejería de Cultura de la Junta de Andalucía.

Según ha informado El Confidencial, se trata de una de las mayores brechas de seguridad en España de los últimos años. Y es que, todos los datos que se han enviado a la web tickets.alhambra-patronato.es, del Patronato de la Alhambra y Generalife, han quedado expuestos, siendo los turistas los principales afectados. 

El fallo, que fue localizado por el grupo de hackers La9, vinculado a Anonymous, afecta al sitio web desde mediados de 2017. La sección Teknautas del citado diario confirmó el agujero de seguridad, que hacía vulnerable a la página a un tipo de ataque muy popular, que permite acceder a los datos almacenados en servidores web.

A posteriori, el diario comunicó el problema a la compañía Hiberus, proveedor tecnológico del Patronato de la Alhambra y Generalife desde 2017. Esta empresa, confirmó que “cualquier incidente que haya podido ocurrir está resuelto y correctamente gestionado”. En efecto, el fallo de la web de la Alhambra ha sido subsanado, pero no el de otros sites de clientes de Hiberus, tal y como incide El Confidencial.

alhambra 2428790 1920

La Alhambra, Granada

La dimensión de este problema es considerable, ya que afecta tanto a particulares como a agencias de viajes que han comprado entradas en grupo para sus clientes. De esta manera, han quedado expuestos datos como el DNI, número telefónico, edad, e-mail o dirección postal. Para las agencias, además, era necesario registrarse, por lo que también han sido vulneradas sus contraseñas de acceso y cuentas corrientes.  

Los especialistas han tildado esta falla como de “primero de hacking, ya que se trata de una técnica muy antigua que todas las empresas han abordado para evitar, precisamente, este tipo de problemas. No obstante, que le ocurra a una firma tecnológica “es muy grave”, según puntualizó el experto en ciberseguridad Josep Albors.

Hiberus, por su parte, ha defendido que la exposición de los datos no se debe a un fallo propio sino a un “ataque informático profesional y organizado”, que va a ser puesto en conocimiento de los Cuerpos y Fuerzas de Seguridad del Estado. Mientras, el Patronato de la Alhambra y Generalife de la Junta de Andalucía ha asegurado que ha habido un fallo de seguridad, por lo que estudia emprender medidas judiciales.