La Autoridad Catalana de Protección de Datos multa con 33.500 euros a las empresas de la tarjeta de transporte de Barcelona
Los responsables del diseño de la página web del nuevo sistema de pago del transporte público cometieron un error de seguridad en 2021 y los datos de los 2000 usuarios registrados quedaron al descubierto
Barcelona
La Autoridad Catalana de Protección de Datos ha multado con 33.500 euros a las empresas de la T-Mobilitat por una brecha de seguridad que, el 5 de octubre de 2021, dejó al descubierto los datos de los ciudadanos que se habían registrado. La mayor parte de la sanción es para INDRA Sistemas S.A. por no "aplicar las medidas adecuadas" para proteger los datos personales de los usuarios. También multa al consorcio Soc Mobilitat porque entiende que el encargo que hizo a la empresa responsable de la gestión de la página web contemplaba medidas de seguridad insuficientes.
La brecha de seguridad se produjo el 5 de octubre de 2021. Lo denunció públicamente un usuario de Twitter y lo reconoció la Autoritat del Transport Metropolità. Durante unas horas, los datos de los usuarios registrados en la web de la T-Mobilitat, 2.161, habían sido abiertos a terceros. El problema de seguridad había sido un error muy básico: según la Autoridad Catalana de Protección de Datos, "cuando se configuró el portal de acceso a la T-Mobilitat no se modificó la contraseña que por defecto asigna el fabricante de la infraestructura "Liferay" en el administrador", de modo que todo el mundo que conociera esta información podía acceder. Por este error, Protección de Datos multa a Indra Sistemas con 23.500 euros.
La autoridad catalana que vela por la protección de datos también ha multado con 10.000 euros al consorcio Soc Mobilitat porque entiende que no trasladó a la empresa responsable de la gestión de la web las medidas de seguridad adecuadas. Entiende que pidió a Indra Sistemas que garantizase un nivel de seguridad básico, cuando debería haber sido más alto.
Seis denuncias
La Autoridad Catalana de Protección de Datos recibió 6 denuncias de diferentes ciudadanos: 5 contra la Autoritat del Transport Metropolità (ATM) y una contra Soc Mobilitat. Sin embargo, la ATM no fue sancionada porque había encargado el diseño y la gestión de la web afectada al consorcio de empresas adjudicatario de la T-Mobilitat.
Los datos que quedaron comprometidos son el nombre, apellidos e identificar de usuario de entrada en el portal web de los 2.161 ciudadanos que estaban registrados en ese momento.
Cronología de la brecha de seguridad
Según el expediente sancionador de la Autoridad de Protección de Datos la vulnerabilidad del portal la detecta un ciudadano y la hace pública en Twitter el día 5 de octubre de 2021 a las 15:39. Tres cuartos de hora más tarde, la Autoritat del Transport Metropolità comunica al consorcio SOC Movilidad que existe este problema. En ese momento se convocó un comité técnico urgente, ya las 16:40 se corrige el error y se cierra la vulnerabilidad.
Tanto Indra Sistemas como SOC Mobilitat tuvieron un período para presentar recurso el expediente sancionador de la Autoridad Catalana de Protección de Datos, pero ahora la multa ya es firme.