Un agujero de seguridad en la web de la Alhambra ha afectado a casi 1.000 agencias de viajes y a 4,5 millones de usuarios individuales que han realizado compras de entradas. Información como números de cuentas corrientes y contraseñas son algunos de los datos que han quedado al descubierto durante dos años en la web gestionada por Hiberus, proveedor tecnológico del Patronato de la Alhambra y Generalife.
El error en la página de la Alhambra ya ha sido corregido, pero no el de las webs de otros clientes de Hiberus, entre los que se encuentran diversos museos de varias comunidades autónomas y diversas webs de ventas de entradas de eventos. De entre los datos expuestos de las 1.000 agencias, destaca información tan delicada como números de cuentas corrientes e IBAN y contraseñas de acceso al sistema que han quedado totalmente al aire para más de 340 agencias.
Según informa el experto en ciberseguridad Josep Albors, el error se trata de una inyección SQL, una técnica muy antigua. “Prácticamente todas las empresas han puesto ya al día sus sistemas desde hace años para evitar estos problemas. Siempre queda alguna rezagada, pero que le ocurra a una firma tecnológica, cuando manejas tantos millones de registros y gestionas una plataforma de ‘ticketing’ como esta, es muy grave”, ha indicado Albros, publica El Confidencial.
El sistema tampoco dispone de una ‘web aplication firewall’, o WAF, una capa adicional de seguridad que dificulta que se produzcan estas incidencias. Además, el histórico de transacciones estaba almacenado en los mismos servidores web que el resto de contenido. En el caso de la Alhambra, la página utilizaba una versión completamente desactualizada del programa, un fallo que facilitaba la vulnerabilidad.
Este ‘software’ es el mismo que emplean grandes museos en España como el Prado o el Thyssen, pero en su caso usan una versión actualizada, sin fallos y con las medidas de seguridad pertinentes, como un WAF. Hiberus estaba cobrando por este trabajo alrededor de un millón de euros anuales en concepto de comisión del 5% por entrada (Las agencias de viajes acusan a la Junta de actuar en la Alhambra como la KGB), (La Alhambra: crecen las agencias que se aprovechan del caos).
Fuente: Preferente