Los hackers que asaltaron el Consorcio Regional de Transportes en noviembre se llevaron los datos personales de 5,5 millones de usuarios madrileños

Poco a poco se van conociendo más detalles del ciberataque que sufrió el Consorcio Regional de Transportes el pasado 22 de noviembre de 2023. Pablo Rodríguez Sardinero, director gerente del Consorcio, informó este viernes en la comisión de Transportes de la Asamblea de Madrid que los hackers que consiguieron colarse en sus servidores se llevaron datos personales de 5,5 millones de usuarios, titulares de tarjetas de transporte público. La información sustraída incluía nombres, apellidos, domicilios, correos electrónicos, teléfonos, localidades y códigos postales.

Aunque el ciberataque se produjo en noviembre, el Consorcio no informó hasta febrero de este año siguiendo las recomendaciones de la Agencia Española de Protección de Datos. También hay una investigación abierta en la Policía Nacional. El grupo parlamentario socialista citó a Rodríguez Sardinero para que explicara qué medidas se han tomado para que esta situación no se vuelva a repetir. Sardinero calificó el ataque de “externo, intencionado y doloso” y aseguró que afectó a la confidencialidad de los datos personales y estadísticas sobre datos de ventas de abonos transporte.

Te puede interesar: Ayuso contratará a una empresa privada para dar por primera vez talleres en institutos madrileños que ayuden a prevenir el consumo de porros

El Consorcio asegura que de forma inmediata se establecieron las medidas necesarias para bloquear dicho ataque, que no evitó la sustracción de los datos, “y se procedió a diseñar e implementar medidas adicionales de seguridad, técnicas y organizativas” que afectaron al personal que formar parte de la plantilla y al personal externo con el que este público trabaja normalmente. ¿Qué medidas? La primera, cambiar la contraseña en todas las credenciales de la plantilla, forzando a partir de ahora el cambio cada seis meses. Medida que afectó especialmente a los administradores que trabajan en los servicios informáticos del Consorcio. En estos casos, tendrán que cambiar de contraseña cada seis meses.

También se han instalado nuevos filtros de seguridad para impedir accesos remotos a la plataforma digital del Consorcio y para poder acceder a la nube donde el Consorcio almacena miles de sus datos. Por último, todos los equipos de trabajo que se conectan a la red interna del Consorcio solo podrán ser corporativos y gestionados por la empresa pública Madrid Digital, que ha implantado un sistema de seguridad especial para que esta brecha de seguridad no se vuelva a producir.

A día de hoy, la investigación de la Policía Nacional sigue abierta. “No hay constancia de la materialización de un perjuicio efectivo para ninguna de las personas que pudieran estar afectadas, que son muchas”, señaló Rodríguez Sardinero. No obstante, existe riesgo de recibir comunicaciones no deseadas o ser víctimas de campañas de phishing o suplantación. Por ello, se recuerda que el Consorcio Regional de Transportes nunca solicita información sobre las claves de acceso, incluidos los supuestos de cuentas bancarias o el pin de tarjetas de crédito o débito.

El PSOE ha criticado que el Consorcio tardara casi tres meses en comunicar el ciberataque y que solo lo hiciera a través de la página web. Desde el Consorcio se defienden asegurando que solo han seguido las instrucciones recibidas por la Policía Nacional y la Agencia de Protección de Datos y recuerdan que hasta el momento solo tres usuarios se han puesto en contacto con ellos notificando algún tipo de comunicación extraña. El Consorcio ha habilitado la siguiente cuenta de correo para notificaciones y dudas: crtm_protecciondatos@madrid.org. Por último, Rodríguez Sardinero destacó que Renfe, Puertos del Estado y Adif (los tres organismos estatales) han sufrido 1.700 ciberataques en los últimos meses y que el Consorcio solo uno.