El Consorcio Regional de Transportes de Madrid fue víctima de un ciberataque el pasado 22 de noviembre, incidente en el cual fueron sustraído 5,5 millones de datos de usuarios de la comunidad capital de España.
que perpetraron el ataque consiguieron acceder a sus servidores y se llevaron datos personales de 5,5 millones de usuarios, todos titulares de tarjetas de transporte público.
Entre la información robada, hay nombres, apellidos, domicilios, correos electrónicos, teléfonos, localidades y códigos postales.
El Consorcio no informó hasta febrero de este año siguiendo las recomendaciones de la Agencia Española de Protección de Datos. También hay una investigación abierta en la Policía Nacional.
En días recientes, el Director del Consorcio fue convocado por el parlamento español para que explicara qué medidas se han tomado para que esta situación no se vuelva a repetir.
En la ocasión, el Director del Consorcio calificó el ataque de “externo, intencionado y doloso” y aseguró que afectó a la confidencialidad de los datos personales y estadísticas sobre datos de ventas de abonos transporte.
El Director del Consorcio aseguró que, una vez que fue advertido el incidente, de forma inmediata se establecieron las medidas necesarias para bloquear dicho ataque.
Si bien las medidas no evitaron la sustracción de los datos, si “se procedió a diseñar e implementar medidas adicionales de seguridad, técnicas y organizativas” que afectaron al personal que forma parte de la plantilla y al personal externo con el que este público trabaja normalmente.
Entre las medidas de prevención y mitigación adoptadas, se dispuso el cambio de las contraseñas en todas las credenciales de los colaboradores y el forzado del cambio cada seis meses.
De igual forma, se dispuso la implementación de nuevos filtros de seguridad para impedir accesos remotos a la plataforma digital del Consorcio y para poder acceder a la nube donde el Consorcio almacena sus datos.
Por último, se dispuso que todos los equipos de trabajo conectados a la red interna del Consorcio fueron corporativos y gestionados por la empresa pública Madrid Digital, que ha implantado un sistema de seguridad especial para que evitar que el incidente vuelva a ocurrir.
La investigación de la Policía Nacional acerca de este incidente sigue en curso. Mientras tanto, el Consorcio de Transporte de Madrid no ha confirmado la ocurrencia de algún perjuicio tangible para los afectados, aunque el riesgo de recibir comunicaciones fraudulentas o ser blanco de actividades de phishing es una posibilidad, advirtieron desde la entidad.
El Consorcio Regional de Transportes ha manifestado que nunca solicitarán información confidencial, como contraseñas o datos bancarios, por medio de correos o mensajes electrónicos.
Ante las críticas por la tardanza de las notificaciones realizada por algunas bancadas parlamentarias, la organización se defendió asegurando que solo han seguido las instrucciones recibidas por la Policía Nacional y la Agencia de Protección de Datos.
La ley fija un año para dictar decretos que regulen diferentes materias de ley. Hay un plazo de seis para dictar los reglamente que establece la ley. El Presidente definirá la fecha de inicio de actividades de la Agencia de Ciberseguridad. El Presidente también nombrará al primer Director de la Agencia.
Incidente ocurrió en consultora Greylock McKinnon Associates que trabaja para el DOJ. Los datos involucrados incluyen información personal como números de Seguro Social. Incidente ocurrió en mayo de 2023 y consultora tardó ocho meses en evaluar su impacto. Consultora entregó 2 años de servicios de protección contra suplantación a afectados.