El pasado martes, 6 de agosto, Radio Televisión Española (RTVE) se veía obligada a emitir un comunicado tras un fallo en la seguridad de la página web de sus oposiciones. La Corporación denunciaba los hechos ante la Policía, de manera que se abría «de forma inmediata un procedimiento de investigación y, en la reunión de este jueves, ha proporcionado más detalles con respecto a la brecha de seguridad, desvelando sus consecuencias.
RTVE ha desvelado algunas cifras, según informa El Mundo. Finalmente, tras días de incertidumbre sobre quiénes se verían afectados y en qué medida, el ente público ha esclarecido algunos datos: hay casi 1.000 documentos comprometidos después de que 57 personas hayan sido afectadas por la descarga ilegal de 218 registros. En este encuentro, se confirma que no se trató de un ataque informático, sino de un fallo de diseño en la web, «con independencia de que algún robot haya visto la ocasión y haya aprovechado para entrar y descargar datos».
Con respecto a este último punto, UGT RTVE ha asegurado que «es un fallo que recae sobre otros fallos anteriores por el mal funcionamiento«, por lo que este y otros sindicatos del ente público han pedido responsabilidades tras la reunión celebrada con la Corporación este jueves. Los sindicatos han tildado lo sucedido de un «asunto serio» que «está dañando el nombre de RTVE y los derechos de las personas afectadas vulnerados».
Aunque la Corporación pública solicitó el bloqueo inmediato de acceso, los datos estuvieron al alcance de cualquiera durante 24 horas. Por ello, UGT RTVE ya ha confirmado que están consultando sus servicios jurídicos para comenzar procedimientos individuales por parte de los afectados en caso de ser necesario y han advertido que se exigirán responsabilidades. Primeramente, «todas aquellas responsabilidades que se deriven de la investigación que se ha puesto en marcha tras la denuncia de RTVE ante la Policía, la Oficina de Protección de Datos y el INCIBE».
En segundo lugar, «todas aquellas responsabilidades que se deriven de la actuación de la empresa Cegos, la empresa responsable de la página, cuyos graves errores tienen que tener graves consecuencias». Y, por último, «todas aquellas responsabilidades en las que haya incurrido la propia RTVE en cualquiera de sus niveles, desde la propia contratación de Cegos al cumplimiento de los sistemas de control que debe tener su ejecución y, por supuesto, la supervisión de seguridad de cualquier sistema informático de o para RTVE en materia de protección de datos».
Así comunicaba RTVE el fallo de seguridad en su página web
Este martes, 6 de agosto, RTVE tuvo conocimiento de que en la plataforma de oposiciones de la Corporación, gestionada por la empresa CEGOS, se había producido un incidente de seguridad relacionado con la descarga no autorizada de documentación existente en la base de datos, afectando, en algunos casos, a datos personales de los participantes en el proceso de oposiciones.
Ante esta situación, la Corporación procedió a solicitar el bloqueo inmediato de acceso, restaurándose el servicio unas horas más tarde, una vez corregida la incidencia y aseguradas todas la medidas de seguridad.
Se ha abierto de forma inmediata un procedimiento de investigación y ya se han denunciado ante la Policía los hechos ocurridos para que, en base a las averiguaciones que se están realizando sobre la descarga no autorizada de documentación, se desarrollen las actuaciones legales que correspondan a los distintos responsables.
La plataforma de empleo de RTVE cumple con las medidas de seguridad exigidas en la contratación, estando certificada por la Norma ISO 27001, que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan, permitiendo a la organización la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos, así como en el Esquema Nacional de Seguridad. Se ha solicitado a CEGOS una auditoría sobre el incidente para determinar las posibles responsabilidades.
RTVE ha actuado cumpliendo con el procedimiento interno de brechas de seguridad de datos, exigiendo al encargado de tratamiento, la empresa CEGOS, el cumplimento de las obligaciones del acuerdo de encargo de tratamiento suscrito conforme a la legislación vigente, y notificando la brecha a la AEPD (Agencia Española de Protección de Datos), así como a los interesados en cuanto se tenga toda la información solicitada a CEGOS, además de al INCIBE (Instituto Nacional de Ciberseguridad).