El ‘AMB leaks': una pifia aflora miles de datos privados de la administración

Actas de reuniones privadas. Comunicaciones internas. Pliegos concursales no aprobados o el detalle de las relaciones entre el Área Metropolitana de Barcelona y sus proveedores. Es lo que ha dejado al descubierto el AMB leaks, una fuga de datos masiva que tuvo lugar esta semana previa del consejo metropolitano del 25 de mayo. La pifia ha revelado miles de hojas de expedientes, sembrando dudas sobre la seguridad jurídica de la Administración supralocal que gobiernan En Comú Guanyem, PSC, ERC y Junts. 

El documento del AMB que se hizo público con un acceso al sistema de información del Área / CG

Han alertado de ello a Crónica Global fuentes del mercado, apuntando a un gazapo en la convocatoria de una reunión de la sociedad AMB Informació i Serveis. El orden del día contenía un enlace al sistema de información del AMB. Se hizo público. La plataforma quedó en franca brecha de seguridad, revelando expedientes, actas de reuniones e incluso datos personales a los que ha podido acceder este periodista, sí, pero también empresas y ciudadanos. 

AMB: "Lo hemos corregido". 

Preguntada por la cuestión, una portavoz del AMB indicó a este medio que el error de seguridad se corrigió tras alertar este medio de la incidencia. Agradeció la información aportada por Crónica Global y señaló que el acceso público había sido cerrado. En efecto, a los pocos minutos de cerciorarse del fallo, el equipo del Área Metropolitana bloqueó la ventana pública a AMB Núvol. 

¿Fue demasiado tarde? Es lo que denuncian fuentes del mercado, apuntando a que la información revelada, por ejemplo, contiene DNI de directivos de empresas contratistas de la Administración supralocal o comunicaciones con la Autoridad Catalana de la Competencia (Acco). De hecho, la brecha de seguridad reveló toda la documentación del consejo metropolitano del 25 de mayo. Contiene 60 puntos, algunos de los cuales tan importantes como el visto bueno a la liquidación del presupuesto de 2020 o la aprobación de los nuevos pliegos del concurso del NitBus, con un valor de 1.000 millones de euros y un presupuesto de 646 millones. 

"El concurso debe anularse"

La pifia en protección de datos convence al mercado de que algunos de los puntos, como la propia licitación del bus diurno y nocturno al norte de Barcelona, "debe anularse o ponerse en cuarentena". ¿Por qué? "El expediente completo ha sido accesible durante tres días por los ciudadanos y algunas empresas. Se han conocido los pliegos de condiciones antes de que los aprobara el gobierno metropolitano. Se pueden ver hasta los recursos de algunas empresas. La inseguridad jurídica es total", argumentan. 

Extracto de una de las cartas entre una empresa y el AMB filtradas por el fallo de seguridad: hay otras / CG

De hecho, este medio ha podido hacerse con todo el expediente del NitBus con el acceso citado. ¿Qué se puede ver? Comunicaciones entre empresas contratistas y el AMB; y entre el AMB y las compañías; informes internos del Área que dan forma al procedimiento o notificaciones enviadas de Competencia --que ha pedido revisar las plicas por restrictivas-- a la institución. Se pueden consultar datos públicos, como CIF de empresas, sí, pero también números de DNI de algunos directivos. 

Experto: "Debe comunicarse a Protección de Datos"

Lo que le ha ocurrido al Área Metropolitana, ¿es grave? "Normalmente, las brechas de seguridad deben cotejarse con la Agencia Española de Protección de Datos (AEPD). Existe una herramienta online para ello", ha explicado Fernando López de Coca, abogado experto en seguridad. El también consultor ha explicado que el AMB "tiene un plazo" para informar del fallo: 72 horas. "Se debe comunicar el número de personas afectadas, el tipo de datos revelados, donde han sido publicados y si aún son accesibles", ha enumerado López de Coca. 

Según el letrado, con esa información, la AEPD decidirá si interviene o no. "Puede abrir expediente sancionador, apercibir o archivar el caso", ilustra el experto. ¿De qué dependerá? "La Ley Orgánica de Protección de Datos (LOPD) establece que se apercibirá a las administraciones públicas y entidades de derecho público o vinculadas", enfatiza. El Área, pues, se podría llevar un cachete de Protección de Datos. La magnitud del mismo dependerá de los datos revelados y de la "proactividad" de la institución a la hora de comunicar y tratar de resolver el fallo. 

Ciberataque en marzo

El incidente con la documentación interna del AMB es el segundo problema que sufre la Administración supralocal con datos privados en poco más de dos meses. Como avanzó este medio, la institución fue víctima de un ciberataque de tipo ransomware en marzo. Los piratas informáticos inutilizaron los servicios electrónicos del Área y obstaculizaron la actualización del sitio web. Fue un acoso de los hackers similar al que sufrió el SEPE, y que provocó demoras en los tramitación de los expedientes y pago de prestaciones vinculadas. 

En el caso del AMB, el ataque, "intenso", obligó a prorrogar los plazos de tramitación de documentación digital sine die. En aquel momento, fuentes cercanas al incidente lamentaron que la Administración supralocal manifestara "debilidad" en la gestión de la brecha y emplazaron al Área a mejorar su "resiliencia" para resistir envites externos. Hasta ahora, cuando el fallo ha sido interno.