Una brecha de seguridad vuelve a empañar las oposiciones de RTVE

El fallo ha implicado la descarga no autorizada de documentación de opositores, según ha admitido la Corporación, que ha denunciado los hechos a la Policía.

Silvia

Redactora especializada en Seguridad y Tecnología.

Guardar

Sede de RTVE en Prado del Rey, Madrid (Foto: RTVE)
Sede de RTVE en Prado del Rey, Madrid (Foto: RTVE)

Una brecha de seguridad se ha convertido en el último escollo de Radio Televisión Española (RTVE) en el largo y tortuoso camino que está emprendiendo para llevar a cabo el proceso de selección de personal de la Convocatoria 1/2022, las primeras oposiciones que celebra desde 2007, es decir, desde hace nada menos que 17 años.

Estas oposiciones se pusieron en marcha en diciembre de 2022, cuando la presidencia de la Corporación firmó las bases de la convocatoria, que pretendía incorporar a 1.082 trabajadores fijos. Sin embargo, en octubre de 2023 RTVE se vio obligada a suspender el proceso por una sentencia de la Audiencia Nacional, que anulaba la baremación de méritos y eliminaba el requisito obligatorio de un año de experiencia. La corporación tuvo que adaptar las bases de la convocatoria, que considera un "objetivo estratégico prioritario" y que reanudó el pasado 23 de abril anunciando que quiere ampliar su equipo, actualmente formado por unas 6.900 personas, contratando a cerca de 1.500 empleados fijos.

La convocatoria ha despertado un gran interés, recibiendo un total de 21.030 inscripciones para formar parte de los diferentes procesos selectivos, según datos de RTVE. Pero ahora que encara las últimas fases ha sufrido un nuevo revés al verse afectada por una brecha de seguridad que ha dejado expuestos múltiples datos de sus aspirantes y ante la que RTVE ya ha salido al paso públicamente.

La brecha

La brecha de seguridad ha sido destapada por El Independiente, que tuvo conocimiento de la misma a través de opositores que se la alertaron, asegurando que ha comprometido la seguridad de sus datos. El citado medio la sacó a la luz tras ponerse en contacto con RTVE para tratar de "obtener una información al respecto de este asunto" y recabar algunas declaraciones de fuentes oficiales de la cadena pública, tal y como indica en su noticia, firmada por Rubén Arranz y publicada en los primeros minutos de este miércoles, 7 de agosto, a las 00:06h exactamente.

La brecha en cuestión se ha producido en la página web oficial de las oposiciones, www.convocatoriasrtve.es, registrada en febrero de 2022 por la empresa Tea Cegos S.A., que en octubre de 2021 resultó la adjudicataria de la licitación lanzada por RTVE para externalizar la gestión de sus procesos selectivos. El concurso recibió las ofertas de cinco empresas, dos de ellas pymes, y Tea Cegos se impuso a ellas al presentar la "mejor oferta técnico-económica" con un presupuesto de 931.592 euros, según el anuncio de la adjudicación.

"El problema que se presenta ahora es que la estructura de la web permite a cualquier usuario el acceso a todo tipo de datos personales de los opositores, sin tener constancia exacta si afecta a la totalidad -hubo más de 21.000 inscritos- o tan sólo a una parte", señala el periodista. Asimismo, subraya que este pasado martes "bastaban tan sólo unos segundos para descargar justificantes, certificados, números de cuenta corriente o incluso el anverso y el reverso del DNI de los participantes".

"Esta documentación la aportaron en el momento de presentar la solicitud de su candidatura porque así se exigía en las bases de los diferentes procesos de selección. Ahora, RTVE -que subcontrató este servicio- no ha asegurado su protección".

Las consecuencias de la brecha

Las fuentes de RTVE que han atendido a El Independiente han declarado que, según los datos que les ha proporcionado Tea Cegos, "no es una salida masiva de datos" y "afecta exclusivamente a algunos casos de consulta". Sin embargo, el citado medio cuestiona estas afirmaciones asegurando que han podido comprobar que "son diversos los casos en los que se ha podido acceder a información personal de los aspirantes".

Las mismas fuentes de RTVE también han adelantado que "están trabajando para que en los próximos procesos" se cuente "con una plataforma propia y no haya que externalizar" el proceso, si bien han incidido en que una gran parte de esta convocatoria pública se ha gestionado de forma interna.

Además, El Independiente señala que el departamento de Recursos Humanos de RTVE ha informado a los sindicatos sobre la brecha, tras tener constancia de ella a través de su medio. En este punto también contradice a la corporación, diciendo que ha trasladado a los sindicatos que el problema estaba localizado en la tarde del martes, "durante algunas horas", pero que su diario "ha podido comprobar que el problema se ha extendido, al menos, a varios días atrás".

El Independiente también se ha puesto en contacto con Tea Cegos, que ha declinado hacer declaraciones sobre el asunto y guarda silencio, al menos hasta el momento de escribir estas líneas.

"Sea como sea, unos minutos después de que 'El Independiente' los avisara de este fallo de seguridad, la web figuraba como caída. Posteriormente, se había restringido el acceso a los citados datos, sin que RTVE haya informado sobre el tiempo que ha durado este problema, que ha vulnerado la privacidad de los participantes", apunta el diario.

RTVE sale al paso. Y denuncia "la descarga no autorizada de documentación"

RTVE se ha pronunciado públicamente sobre el fallo de seguridad que ha afectado a la web de sus oposiciones a través de un comunicado emitido este miércoles a las 18.28h. Horas antes, UGT RTVE también informó sobre la brecha, diciendo que les han dicho de que "no se ha producido descarga masiva de datos" y que había solicitado "una reunión urgente" con la Dirección de la Corporación pública de la que estaban a la espera, como declararon a Europa Press fuentes del sindicato. "UGT velará por los derechos de todas las personas participantes en el proceso", aseveraron.

En su comunicado, RTVE reconoce que fue este pasado martes, 6 de agosto, cuando tuvo conocimiento de que se había producido la brecha, que ha implicado "la descarga no autorizada de documentación existente en la base de datos, afectando, en algunos casos, a datos personales de los participantes en el proceso de oposiciones".

La Corporación resalta que, ante esta situación, procedió a solicitar el bloqueo inmediato de acceso a la página web, que se restauró unas horas más tarde, "una vez corregida la incidencia y aseguradas todas las medidas de seguridad". Asimismo, anuncia que ha denunciado los hechos ante la Policía, los ha puesto en conocimiento de la AEPD y ha abierto una investigación para depurar responsabilidades.

Por otra parte, RTVE defiende que su plataforma de empleo "cumple con las medidas de seguridad exigidas en la contratación, estando certificada por la Norma ISO 27001" y que "ha actuado cumpliendo con el procedimiento interno de brechas de seguridad de datos, exigiendo al encargado de tratamiento, la empresa Cegos, el cumplimento de las obligaciones del acuerdo de encargo de tratamiento suscrito conforme a la legislación vigente, y notificando la brecha a la AEPD (Agencia Española de Protección de Datos), así como a los interesados en cuanto se tenga toda la información solicitada a Cegos, además de al INCIBE (Instituto Nacional de Ciberseguridad)".

Auditoría a Cegos y planes de futuro, con una plataforma propia

RTVE también manifiesta que ha solicitado a Cegos una auditoría sobre el incidente "para determinar las posibles responsabilidades" y que se reserva "el ejercicio de medidas posteriores, incluyendo legales, para garantizar la protección de los datos de las personas participantes en el proceso de oposiciones".

Además, la Corporación hace oficial sus planes de dejar de externalizar la tramitación de sus oposiciones, ya que comunica que "está trabajando para el desarrollo de una plataforma propia para los futuros procesos de empleo".