El Consorcio Regional de Transportes de Madrid (CRTM) sufrió un ciberataque a finales de noviembre que "comprometió" la integridad de bases de datos que almacenan datos personales y confidenciales de los usuarios de la tarjeta de transporte, como nombres, domicilios o números de tarjetas de crédito. Así lo ha trasladado el organismo público que habla de una incidencia de seguridad con "origen externo" de carácter "intencionado y doloso" y que ha recomendado a los titulares de los abonos "extremar" las medidas de precaución habituales si reciben comunicaciones sospechosas.
A través de su web, el Consorcio ha explicado que el ciberataque se registró la madrugada del pasado 22 de noviembre y ha asegurado que "de forma inmediata" se establecieron "las medidas necesarias" para bloquearlo con el trabajo de equipos técnicos del propio CRTM y de la empresa pública Madrid Digital. "Se procedió a diseñar e implementar medidas adicionales de seguridad, técnicas y organizativas", han trasladado desde el organismo dependiente de la Consejería de Vivienda, Transportes e Infraestructuras.
Los responsables del CRTM interpusieron una denuncia ante la Policía Nacional y comunicaron la brecha de seguridad a la Agencia Española de Protección de Datos, tal y como establece la normativa en la materia. No se ha facilitado información sobre las pesquisas seguidas por los agentes, aunque el Consorcio ha destacado que el ataque quedó "neutralizado" el mismo día que se produjo.
"No se ha podido evidenciar el contenido exacto de la posible extracción efectuada", han añadido fuentes del Consorcio, aunque a la vez han añadido que tienen "evidencias" de la extracción de información de bases de datos de titulares de las tarjetas de transporte público de la región. En concreto hablan de datos identificativos como nombres, apellidos, domicilios, correo electrónicos, teléfonos, localidades de residencia y de ventas de títulos de transporte.
Según han sostenido desde el CRTM, desde que se produjo el ciberataque se han reforzado las medidas de seguridad. De momento no han tenido constancia de que se haya materializado algún perjuicio a las personas cuyos datos fueron sustraídos. No obstante, indican que "existe riesgo" de recibir comunicaciones no deseadas o "ser víctimas de campañas de phishing o suplantación". Por ello piden a los usuarios del transporte público que extremen las precauciones en este sentido.
"El Consorcio nunca solicita información sobre las claves de acceso, incluidos los supuestos de cuentas bancarias o el pin de tarjetas de crédito o débito", han resaltado, a la vez que han lamentado las molestias o inquietud que esta situación pudiera ocasionar a los afectados y se han mostrado dispuestos a resolver cualquier duda a los usuarios a través del correo crtm_protecciondatos@madrid.org.
Comentarios