El Consorcio Regional de Transportes (CRTM) de Madrid ha relevado que ha sido víctima de un ciberataque casi tres meses después de sufrirlo, tiempo que lo ha mantenido en secreto pese a que los hackers consiguieron acceder a las bases de datos que albergan información de los titulares de tarjetas de transporte.
La entidad ha confesado el incidente de ciberseguridad en un comunicado compartido el pasado 14 de febrero en el que señala que se trató de un ciberataque "de origen externo, intencionado y doloso, que ha afectado a la confidencialidad de los datos personales".
Según indica, tuvo lugar la madrugada del 22 de noviembre de 2023 y ese mismo día fue neutralizado "gracias al trabajo de los equipos técnicos del Consorcio Regional de Transportes de Madrid y de Madrid Digital".
"De forma inmediata se establecieron las medidas necesarias para bloquear dicho ataque y se procedió a diseñar e implementar medidas adicionales de seguridad, técnicas y organizativas. Al mismo tiempo, se procedió a denunciar los hechos ante el Cuerpo Nacional de Policía y a comunicar la brecha de seguridad a la Agencia Española de Protección de Datos, en cumplimiento estricto de la normativa".
El CRTM de Madrid reconoce que no se ha podido confirmar el contenido exacto de la posible extracción que efectuaron los hackers en el ciberataque, aunque sostiene que existen evidencias de que comprometieron las bases de datos que contienen información de los titulares de Tarjetas de Transporte Público. Así, admite que accedieron a datos identificativos de los viajeros -nombre, apellidos, domicilio, correo electrónico, teléfono, localidad y provincia, código postal, entre otros-, así como a información de ventas de títulos de transporte.
Recomienda extremar las medidas de precaución
Hasta la fecha del comunicado, 14 de febrero, la entidad subraya que "no hay constancia de la materialización de un perjuicio efectivo para ninguna de las personas que pudieran estar afectadas". No obstante, advierte que los afectados podrían recibir comunicaciones no deseadas, ser objetivo de campañas de phishing o de suplantaciones de identidad por lo que recomienda "extremar las medidas de precaución habituales" y recuerda que su entidad nunca solicita información sobre las claves de acceso, incluidos los supuestos de cuentas bancarias o el pin de tarjetas de crédito o débito.
"En todo caso, hemos seguido trabajando en reforzar las medidas de seguridad existentes para fortalecer, aún más, los accesos internos y externos a los sistemas afectados, con objeto de evitar cualquier nuevo intento de ataque", asegura el ente, y apunta:
"Lamentamos profundamente las molestias o inquietud que esta situación pudiera ocasionar a los afectados. Si necesita alguna aclaración no dude en comunicarse con nosotros a través del siguiente correo electrónico: crtm_protecciondatos@madrid.org".
Entre enero y septiembre de 2023, se registraron 57.299 ciberdelitos en la Comunidad de Madrid, lo que suponen un 19% más respecto a los contabilizados en el mismo periodo del año anterior. Para hacer frente a los crecientes ataques informáticos, el Ejecutivo autonómico va a crear una agencia de ciberseguridad regional que lleva meses planeando y que fue aprobada en el pleno de la Asamblea a mediados del pasado mes de diciembre.
