El Consorcio Regional de Transportes ha informado que ha sido víctima de un ciberataque por el que se han visto comprometidas las bases de datos que contienen información de los titulares de Tarjetas de Transporte Público. El encargado del tratamiento de los datos personales ha comunicado que se trata de una incidencia de ciberseguridad, constatándose un ciberataque de origen externo, intencionado y doloso, que ha afectado a la confidencialidad de los datos personales.
De forma inmediata se establecieron las medidas necesarias para bloquear dicho ataque y se procedió a diseñar e implementar medidas adicionales de seguridad, técnicas y organizativas. Al mismo tiempo, se procedió a denunciar los hechos ante el Cuerpo Nacional de Policía y a comunicar la brecha de seguridad a la Agencia Española de Protección de Datos, en cumplimiento estricto de la normativa.
El ataque tuvo lugar la madrugada del 22 de noviembre de 2023 y fue neutralizado el mismo día gracias al trabajo de los equipos técnicos del Consorcio Regional de Transportes de Madrid y de Madrid Digital.
No se ha podido evidenciar el contenido exacto de la posible extracción efectuada como consecuencia del ataque, aunque existen evidencias de la extracción de información de bases de datos de titulares de Tarjetas de Transporte Público de la Comunidad de Madrid con datos identificativos (nombre, apellidos, domicilio, correo electrónico, teléfono, localidad y provincia, código postal, …) y de ventas de títulos de transporte.
Hasta la fecha actual, no hay constancia de la materialización de un perjuicio efectivo para ninguna de las personas que pudieran estar afectadas, han indicado. No obstante, existe riesgo de recibir comunicaciones no deseadas o ser víctimas de campañas de phishing o suplantación. Por ello, se recuerda que el Consorcio Regional de Transportes nunca solicita información sobre las claves de acceso, incluidos los supuestos de cuentas bancarias o el pin de tarjetas de crédito o débito.
«Se recomienda extremar las medidas de precaución habituales», subrayan. En todo caso, «hemos seguido trabajando en reforzar las medidas de seguridad existentes para fortalecer, aún más, los accesos internos y externos a los sistemas afectados, con objeto de evitar cualquier nuevo intento de ataque».
«Lamentamos profundamente las molestias o inquietud que esta situación pudiera ocasionar a los afectados. Si necesita alguna aclaración no dude en comunicarse con nosotros a través del siguiente correo electrónico: crtm_protecciondatos@madrid.org «, han concluido.
1 Actualizada:
Los datos robados sirven para estafas tipo phishing, smishing. El consorcio de transportes de Madrid tiene la responsabilidad de los datos. Por lo tanto, debe mandar un correo a todos los usuarios cuyos datos hayan sido robados para informales que pueden ser víctimas de estafas.