miércoles, 30 de septiembre de 2015

El Ayuntamiento de Sevilla concluye que el impacto del fallo de seguridad de la web de la Agencia Trobutaria fuer muy ñeve y trasladará toda la información a Fiscalía














* El Delegado de Hacienda comunica los detalles a los grupos políticos y los envía también tanto a la Agencia de Protección de Datos como al Defensor del Pueblo Andaluz 
* Tan sólo se realizaron 105 consultas efectivas, en las que se analizó la documentación de 51 DNI diferentes. En torno a la mitad de esas consultas se hizo el día de la denuncia pública: el 3 de septiembre
* En los próximos días comenzará la auditoría urgente de seguridad sobre la web de la Agencia, del Instituto de la Cultura y las Artes Escénicas (ICAS) y del Ayuntamiento

El Ayuntamiento de Sevilla ha concluido el expediente reservado para investigar el fallo técnico detectado en la web de la Agencia Tributaria y trasladado su contenido a todos los grupos políticos en Junta de Portavoces, al tiempo que, tras informe de sus Servicios Jurídicos, lo enviará a la Fiscalía por si hubiera delito en el uso de la información personal obtenida tras el acceso a través de este agujero de seguridad.
El delegado de Hacienda y Administración Pública, Joaquín Castillo, ha comparecido en rueda de prensa después de que en, en un ejercicio de transparencia, la Junta de Portavoces del Consistorio conociera los detalles de la investigación reservada. Sin restar gravedad alguna a lo ocurrido, Castillo ha dejado claro que el impacto ha sido muy reducido, enviando pues un mensaje de tranquilidad a los sevillanos sobre su información tributaria y personal. “De este expediente reservado podemos concluir que el error que ha permitido el acceso sin seguridad a DNI de ciudadanos es un fallo muy grave que, afortunadamente, ha tenido un impacto muy limitado, casi puntual, sobre los ciudadanos”, ha dicho.
Castillo ha desgranado las actuaciones desde que el día 3 de septiembre pasado un grupo político del Ayuntamiento de Sevilla denunciara públicamente la existencia de ese fallo informático que permitía el acceso no autorizado a datos de la Oficina Virtual de la Agencia Tributaria. Desde ese mismo momento, según ha explicado, se procedió a impedir el acceso a la oficina virtual para bloquear el código grabado en un buscador de internet, una cuestión que, junto con una revisión de urgencia de la web, se solventó en apenas unas horas, pasadas las cuales se restableció el servicio.
De manera inmediata también, se abrió un expediente reservado de investigación para determinar las causas exactas del fallo técnico. En sólo unos días se detectó el origen de ese error informático: un cambio en la autenticación de las peticiones de información que se produjo el 8 de marzo de 2015 y que, a través del número del DNI de una persona, facilitaba datos e información exclusivamente privada que no pueden estar disponibles sin las suficientes garantías de seguridad para nadie más que para el propio interesado.
Se trasladó, asimismo, un primer escrito a la Fiscalía y el Ayuntamiento y la Agencia Tributaria de Sevilla se pusieron a disposición de la Agencia de Protección de Datos y del Defensor del Pueblo Andaluz para explicar lo sucedido, al tiempo que encargó una auditoría de seguridad más amplia no sólo sobre la Oficina Virtual sino también sobre el conjunto de la web del organismo fiscal, la del ICAS (Instituto de la Cultura y las Artes Escénicas) y la del propio Consistorio hispalense.
Tras finalizar la profunda investigación, a partir de información suministrada por la empresa Tecnocom, el Instituto Tecnológico del Ayuntamiento de Sevilla (ITAS) y la Agencia Tributaria, se han obtenido conclusiones que acreditan “desde cuándo se produce este problema técnico, quiénes han hecho uso del fallo informático y qué información se ha consultado a través de este enlace erróneo”, según ha sostenido el delegado.

En concreto, según ha desgranado, las conclusiones son:
a) El error procede de un fallo informático no intencionado que se produce el día 8 de marzo de 2015 en la empresa adjudicataria de la oficina virtual de la Agencia Tributaria (Tecnocom).
b) El impacto global de este error, en cualquier caso, es muy limitado para la ciudadanía.
c) En todos los meses que ha permanecido operativo este enlace erróneo se han producido únicamente 105 consultas efectivas en las que ha analizado la documentación de 51 DNI diferentes. Por tanto, sólo se han consultado a través de este enlace los datos de 51 personas. En torno a la mitad de las consultas se efectuaron justo el mismo día de la denuncia pública ante la prensa: el 3 de septiembre.
d) Estas consultas, asimismo, tienen un origen muy acotado. Sólo constan 28 direcciones IP. Es decir, hay un máximo de 28 titulares que hicieron uso de este enlace, incluyéndose en esta cifra todos los usos que se realizaron el día 3 de septiembre cuando que se hizo público el enlace erróneo a través de los medios de comunicación así como los grupos políticos o los técnicos que trabajaron para detectar el fallo.
e) La distribución de estos accesos demuestra que la utilización y, por tanto, el conocimiento de este enlace era “muy limitado” entre los usuarios. Y de hecho, el mayor número coincide con las horas posteriores a esa denuncia pública.
“En el expediente reservado constan todas las direcciones IP y los DNI que se han consultado, aunque esos datos son confidenciales”, según ha dejado claro Joaquín Castillo, quien ha desgranado las actuaciones que acometerá el Gobierno municipal a partir de ahora, algunas ya en trámite.
De entrada, en los próximos días arrancará la auditoría de seguridad de la página web del Ayuntamiento, la Agencia Tributaria y el ICAS adjudicada de urgencia. Se ha realizado un apercibimiento a la empresa responsable del incidente por un error, ha recalcado Castillo, que no fue intencionado, pero sí “muy grave”. Se le ha advertido de que, en caso de reincidencia, habrá sanción, no pudiéndose ir más allá por ahora dado que los pliegos de contratación del servicio no contemplaban sancionar desde el primer fallo por incumplimiento del contrato.
La información recabada, además, ha sido trasladada a la Agencia de Protección de Datos el pasado 16 de septiembre y al Defensor del Pueblo Andaluz, que ha abierto un expediente de oficio, y se remitirá a la Fiscalía de Sevilla los datos del expediente por si alguna de las 51 consultas de los DNI personales haya podido no realizarse por sus titulares y pueda tener, por tanto, consecuencias penales.

No hay comentarios: