Uno de los monumentos más importantes de España y que recibe cientos de miles de visitantes al año, como es la Alhambra de Granada, se ha visto envuelto recientemente en un incidente de seguridad que afecta a millones de visitantes como consecuencia de la filtración de datos personales y sensibles. Por si fuera poco, los datos de cientos de agencias de viajes que se encargan de gestionar la compra de entradas para sus clientes también se han visto expuestos.
Resumen del incidente
La noticia saltó a los medios de comunicación el pasado miércoles 22 de mayo, cuando un artículo publicado por El Confidencial indicaba que datos privados como los números de cuentas corrientes, contraseñas, nombres, apellidos, número de teléfono móvil, email o la dirección postal de los visitantes y agencias de viaje se habrían visto comprometidos.
El problema residía en la web de compra de tickets oficial, que resultó ser vulnerable ante tres tipos diferentes de inyecciones SQL. Esto último fue descubierto por el grupo hacktivista La 9 de Anon, que prometió ofrecer próximamente detalles técnicos acerca de cómo se descubrieron estos fallos de seguridad y se pudieron obtener los datos de varios millones de visitantes.
El desarrollo de esta web y muchas otras que se encargan de gestionar la venta de entradas en varios monumentos y museos españoles corre a cargo de la empresa Hiberus. Ante la petición de información acerca de este incidente, esta empresa ha lanzado un comunicado oficial para explicar su versión de los hechos.
Contramedidas a adoptar
A pesar de que se desconoce si previo a la publicación de este agujero de seguridad se produjo un acceso a esta importante cantidad de datos, lo más prudente es adoptar medidas preventivas si hemos comprado entradas para visitar la Alhambra en los últimos meses o años.
Ante situaciones como estas debemos estar atentos y vigilar las cuentas de correos que estén supuestamente relacionadas. En caso de recibir algún correo alertando de este incidente, debemos asegurarnos de que se trata de un correo legítimo antes de proporcionar cualquier información o pulsar sobre un enlace. Asimismo, si la contraseña que usamos para registrarnos en la web de venta de entradas es la misma que utilizamos en otros servicios online, es recomendable cambiarla para evitar posibles intrusiones aprovechando los datos que se habrían podido sustraer.
Aunque parece que no se ha tenido acceso a datos de tarjetas bancarias, es bastante aconsejable vigilar frecuentemente los movimientos en nuestras cuentas corrientes y avisar a nuestra entidad bancaria si vemos alguno sospechoso. Esta recomendación es especialmente importante para las agencias de viaje que gestionan la compra de tickets a varios museos o monumentos para sus clientes.
Conclusión
Incidentes de seguridad como el que acabamos de ver sirven para recordarnos la importancia de gestionar nuestras credenciales y otros datos privados con seguridad. Actualmente es muy recomendable activar, en todos aquellos sitios que sea posible, el doble factor de autenticación y así dificultar el acceso a nuestras cuentas online.
Así mismo, si recordar decenas de contraseñas nos resulta difícil, podemos utilizar gestores de contraseñas, una herramienta que nos hará la vida más fácil al solo tener que recordar una contraseña maestra, al encargarse el gestor de rellenar los campos que nos soliciten credenciales o simplemente servir como herramienta de almacenamiento relativamente seguro.