Ciberataque al CRTM de Madrid. El Consorcio Regional de Transportes (CRTM) de Madrid ha revelado que fue objeto de un ciberataque en la madrugada del 22 de noviembre, comprometiendo datos de los titulares de tarjetas de transporte público. Según el comunicado publicado el 14 de febrero en su página web, el incidente se clasifica como una «incidencia de ciberseguridad» originada externamente, intencionada y dolosa. A pesar de que se ha constatado la afectación a la confidencialidad de los datos personales, no se ha logrado determinar el contenido exacto extraído durante el ataque.
El CRTM informa que las bases de datos que contienen información de los titulares de tarjetas de transporte público se vieron comprometidas. Aunque no se ha evidenciado la naturaleza exacta de la información extraída, se mencionan datos identificativos como nombres, apellidos, domicilio, correo electrónico, teléfono, localidad, provincia, código postal, entre otros. También se hace referencia a la posible extracción de información sobre ventas de títulos de transporte.
A pesar de que el Consorcio asegura no tener constancia de problemas derivados de la fuga de datos, existe un claro riesgo potencial para los afectados. Desde recibir comunicaciones no deseadas hasta ser víctimas de intentos de phishing o suplantación de identidad, la filtración de esta información personal es preocupante.
El gobierno regional justifica la demora de tres meses en la divulgación del ataque argumentando que se inició una investigación tras presentar la denuncia correspondiente a la Policía y a la Agencia de Protección de Datos. Aseguran que han seguido los procedimientos y plazos establecidos por la normativa de protección de datos de carácter personal.
Este ciberataque se suma a otros incidentes similares en la región, como la caída de la emisión de Telemadrid durante tres horas un mes antes. A raíz de estos eventos, el Gobierno de Isabel Díaz Ayuso impulsó en diciembre la creación de una agencia de ciberseguridad autonómica, destinada a configurar un Equipo de Respuesta a Incidentes de Ciberseguridad (CSIRT). Aunque la agencia fue aprobada por la Asamblea regional, aún no está operativa en su totalidad debido a problemas en el nombramiento del consejero delegado, cuyo puesto sigue vacante.
Noticias – DataPro Legal