Alcalá, 9 de abril.- Los ciberdelincuentes han encontrado un filón en el transporte público de viajeros, tanto en el transporte urbano como en el interurbano. Desde hace unos meses se están produciendo en muchas ciudades cibertaques en las plataformas de gestión de las tarjetas y abonos transporte, es decir, en el documento de prepago que utilizan los viajeros. El último de estos ataques ha afectado al servicio de transporte urbano de Guadalajara. Pero de estos ciberataques no se ha librado la Comunidad de Madrid.
El 14 de febrero, el Consorcio Regional de Transportes informó que había sido víctima de un ciberataque por el que se vieron comprometidas las bases de datos que contienen información de los titulares de Tarjetas de Transporte Público. El encargado del tratamiento de los datos personales comunicó que se trató de una incidencia de ciberseguridad, constatándose un ciberataque de origen externo, intencionado y doloso, que ha afectado a la confidencialidad de los datos personales. Decenas de miles de alcalaínos tienen una tarjeta de transporte como las de la fotografía y por tanto sus datos personales, incluidos los bancarios, estuvieron a merced de ciberdelincuentes.
Los servicios de recarga del transporte urbano de Guadalajara están inoperativos desde hace unos días. El motivo de la caída del sistema es el ciberataque que ha sufrido en su plataforma digital Prepay Technologies, empresa que gestiona la red de recargas de los autobuses urbanos de la capital, cuya contrata gestiona Alsa.
Ávila, Burgos, Albacete, Córdoba y muchas otras ciudades, pero también la Comunidad de Madrid. Los hackeos de los sistemas informáticos que gestionan las tarjetas prepago están siendo muy frecuentes. El sufrido por el Consorcio Regional de Transportes de la Comunidad de Madrid ha llegado incluso a la Asamblea de Madrid. El grupo parlamentario socialista solicitó la comparecencia en sede parlamentaria del director gerente del Consorcio, Pablo Rodríguez Sardinero, puesto que los datos de 5’5 millones de madrileños están a merced de los hackers, que lanzaron el ataque en noviembre de 2023. El Consorcio informó de los hechos en el mes de febrero.
Fue entonces cuando informó de lo ocurrido:
“El Consorcio Regional de Transportes informa que ha sido víctima de un ciberataque por el que se han visto comprometidas las bases de datos que contienen información de los titulares de Tarjetas de Transporte Público. El encargado del tratamiento de los datos personales comunica que se trata de una incidencia de ciberseguridad, constatándose un ciberataque de origen externo, intencionado y doloso, que ha afectado a la confidencialidad de los datos personales.
De forma inmediata se establecieron las medidas necesarias para bloquear dicho ataque y se procedió a diseñar e implementar medidas adicionales de seguridad, técnicas y organizativas. Al mismo tiempo, se procedió a denunciar los hechos ante el Cuerpo Nacional de Policía y a comunicar la brecha de seguridad a la Agencia Española de Protección de Datos, en cumplimiento estricto de la normativa.
El ataque tuvo lugar la madrugada del 22 de noviembre de 2023 y fue neutralizado el mismo día gracias al trabajo de los equipos técnicos del Consorcio Regional de Transportes de Madrid y de Madrid Digital.
No se ha podido evidenciar el contenido exacto de la posible extracción efectuada como consecuencia del ataque, aunque existen evidencias de la extracción de información de bases de datos de titulares de Tarjetas de Transporte Público de la Comunidad de Madrid con datos identificativos (nombre, apellidos, domicilio, correo electrónico, teléfono, localidad y provincia, código postal, …) y de ventas de títulos de transporte.
Hasta la fecha actual, no hay constancia de la materialización de un perjuicio efectivo para ninguna de las personas que pudieran estar afectadas. No obstante, existe riesgo de recibir comunicaciones no deseadas o ser víctimas de campañas de phishing o suplantación. Por ello, se recuerda que el Consorcio Regional de Transportes nunca solicita información sobre las claves de acceso, incluidos los supuestos de cuentas bancarias o el pin de tarjetas de crédito o débito. Se recomienda extremar las medidas de precaución habituales.
En todo caso, hemos seguido trabajando en reforzar las medidas de seguridad existentes para fortalecer, aún más, los accesos internos y externos a los sistemas afectados, con objeto de evitar cualquier nuevo intento de ataque.
Lamentamos profundamente las molestias o inquietud que esta situación pudiera ocasionar a los afectados. Si necesita alguna aclaración no dude en comunicarse con nosotros a través del siguiente correo electrónico: crtm_protecciondatos@madrid.org.
Entre esos datos están los bancarios puesto que son muchos los usuarios que pagan con tarjeta de crédito a través de la aplicación del Consorcio.
