Madrid reconoce un ciberataque en noviembre que comprometió datos de los usuarios de Tarjeta de Transporte

El Consorcio Regional de Transportes de la Comunidad de Madrid ha anunciado que el año pasado fue víctima de un ciberataque que comprometió las bases de datos que contienen información de los titulares de Tarjetas de Transporte Público. El ataque tuvo lugar la madrugada del 22 de noviembre de 2023. Según ha indicado el Consorcio «no se ha podido evidenciar el contenido exacto de la posible extracción efectuada como consecuencia del ataque», y declara que el ataque fue «de origen externo, intencionado y doloso».

El organismo afirma que el ataque fue neutralizado el mismo día gracias al trabajo de los equipos técnicos de Madrid Digital y del propio Consorcio. Asegura que «de forma inmediata» se establecieron las medidas necesarias para bloquear dicho ataque y se procedió a organizar y poner en marcha «medidas adicionales de seguridad, técnicas y organizativas». Se procedió también a denunciar los hechos ante el Cuerpo Nacional de Policía y a comunicar la brecha de seguridad a la Agencia Española de Protección de Datos.

El consejero de Vivienda, Transportes e Infraestructuras de la Comunidad de Madrid, Jorge Rodrigo, ha asegurado que «se han tomado todas las medidas necesarias para informar y, sobre todo, comunicar a las personas afectadas, que se había producido un ciberataque». Rodrigo ha explicado a los medios que el Consorcio informó a todos los posibles afectados.

El encargado del tratamiento de los datos personales ha comunicado que se trata de una incidencia de ciberseguridad que ha afectado a la confidencialidad de los datos.

Se ha expuesto que «existen evidencias de la extracción de información de bases de datos de titulares de Tarjetas de Transporte Público de la Comunidad de Madrid con datos identificativos (nombre, apellidos, domicilio, correo electrónico, teléfono, localidad y provincia, código postal, entre otras) y de ventas de títulos de transporte».

El consorcio afirma que a pesar de que no se ha podido averiguar si hubo extracción, o su contenido, no han constatado «un perjuicio efectivo para ninguna de las personas que pudieran estar afectadas». Se ha recordado que el Consorcio Regional de Transportes nunca solicita información sobre claves de acceso, supuestos de cuentas bancarias o el pin de tarjetas de crédito o débito.

Sí advierten, sin embargo, del riesgo de « recibir comunicaciones no deseadas o ser víctimas de campañas de phishing o suplantación», y se ha recomendado extremar las medidas de precaución habituales.

El organismo asegura que ha continuado su trabajo para «reforzar las medidas de seguridad existentes para fortalecer, aún más, los accesos internos y externos a los sistemas afectados, con objeto de evitar cualquier nuevo intento de ataque».

«Lamentamos profundamente las molestias o inquietud que esta situación pudiera ocasionar a los afectados», indica el Consorcio Regional de Transporte, que ha recordado que dispone del correo electrónico crtm_protecciondatos@madrid.org para cualquier duda o aclaración.