La Alhambra exige que se aclare si un "agujero" en la web de entradas dejó al descubierto datos de cuatro millones de visitantes

El Patronato de la Alhambra y el Generalife ha pedido por escrito a la empresa adjudicataria del servicio de venta de entradas, Hiberus Tecnologías de la Información y Sicomoro Servicios Integrales, un "informe detallado" de los hechos denunciados por el periódico El Confidencial, que habla sobre un supuesto agujero en la web oficial de compra de entradas de la Alhambra que habría dejado al descubierto datos de cuatro millones y medio de visitantes.

Números de cuentas corrientes, contraseñas, nombres y apellidos, números de teléfonos móviles, correos electrónicos o direcciones postales de visitantes particulares y de un millar de agencias de viajes habrían estado “totalmente desprotegidos” durante dos años en esa web de compra de entradas, gestionada por un organismo adscrito a la Junta de Andalucía, destaca el periódico, que menciona que el fallo ha sido detectado por el grupo de hackers La9, vinculado a Anonymous y que afectaba a la página desde mediados de 2017.

Siempre según la mencionada fuente, ese “agujero” habría hecho la web vulnerable a tres modalidades diferentes de inyecciones SQL, un tipo de ataque “que permite acceder a los datos almacenados en servidores web añadiendo código malicioso”.
La empresa Sicomoro Servicios Integrales, filial de Hiberius Tecnología, proveedora tecnológica del Patronato de la Alhambra y el Generalife, habría sido informada de este problema de vulnerabilidad. Su respuesta fue que “cualquier incidente que haya podido ocurrir, está resuelto y correctamente gestionado”. El Confidencial añade que el fallo e nla web de la Alhambra “ya ha sido subsanado”, pero no el de páginas web de otros clientes de Hiberius, entre los que se encuentran museos ubicados en varias comunidades autónomas y páginas web de ventas de entradas.

En un comunicado, el patronato resalta que ha solicitado también a la empresa que le haga saber "cuáles son las primeras medidas adoptadas para corregir dicho incidente y todas las medidas de seguridad necesarias", incluyendo la realización de una auditoria interna y externa, que garantice que el sistema sea seguro y eficaz que evite cualquier tipo de ataque y dé cumplimiento del Esquema Nacional de Seguridad, tal y como exige el Pliego de Prescripciones Técnicas del contrato.

En dicho informe, y como solicita el Patronato de la Alhambra y Generalife, también se deberá informar y documentar de los pasos realizados para la actuación a desarrollar por esta institución, y dar traslado así a Andalucía CERT y la Agencia Española de Protección de Datos (AEPD).

Al respecto, ha recordado a la empresa adjudicataria los estándares de calidad que requiere la prestación de unos servicios de vanguardia "acorde con la importancia y nivel de exigencia de este monumento".

Por su parte, el alcalde de Granada y vicepresidente del patronato, Francisco Cuenca, ha afirmado que la noticia le ha causado "alerta y preocupación" y ha añadido que ya se ha puesto en contacto con la directora del monumento, Rocío Díaz.

"Le he pedido dos cosas: por un lado, saber con detalle qué incidencia puede tener este incidente para la imagen global de la Alhambra y por otro, y más importante, qué medidas y qué mecanismos se van a poner en marcha para que esto no vuelva a ocurrir", ha manifestado el alcalde.

"Incidente desafortunado pero perfectamente subsanable"

La consejera de Cultura y Patrimonio Histórico de la Junta de Andalucía, Patricia del Pozo, ha lamentado este miércoles el "incidente desafortunado pero perfectamente subsanable" que habría dado lugar a la revelación de datos personales y que ha asegurado que el asunto "está en vías de solución".

En declaraciones a los medios durante su visita a La Alcazaba de Almería, la consejera ha asegurado que desde el Gobierno andaluz han iniciado un seguimiento "directísimo" sobre este asunto una vez han tenido conocimiento del mismo.

"Se han pedido explicaciones por escrito a la empresa de este incidente para ver las medidas de seguridad y por supuesto hemos contactado con la Agencia Andaluza y la Nacional de Protección de Datos", ha explicado Del Pozo, quien confían que en breve todo quede "resuelto"