Un fallo informático ha colocado en una situación muy comprometida a los organizadores del festival Mad Cool. Durante el proceso de venta y descarga de entradas, los datos personales de sus compradores quedaron al alcance de todos. En Gesprodat analizamos esta noticia y sus posibles consecuencias.
¿Cómo fue el fallo informático de Mad Cool?
En abril de 2023, la venta de entradas para este festival marchaba viento en popa. Aunque todavía quedaban unos meses para su celebración, el interés generalizado estaba dando frutos. Sin embargo, el 11 de abril al mediodía se produjo el desastre para la organización de este evento musical.
¿El motivo? Una quiebra en la seguridad de comprar entradas provocó que los datos de miles de personas se hicieran públicos. No solo eso, incluso fue posible descargar entradas ajenas y, posiblemente, modificar los datos incluidos en ellas.
El soporte técnico de esta operación digital fue Ticketmaster, que rápidamente se desmarcó del error y de sus consecuencias. Esta empresa adujo que hacía labores de intermediación, pero que no era la responsable de ese problema informático.
Tras realizar el envío masivo para acceder al sistema de descarga de entradas y envío de pulseras, todo saltó por los aires. En lugar de un procedimiento personalizado, se pudo acceder aleatoriamente a las entradas de múltiples usuarios, así como a todos sus datos.
Alerta máxima en Mad Cool
Una de las compradoras dio la voz de alerta en Twitter. Con todo, el error permaneció activo durante algunas horas. El acceso a esta información fue tal que muchos compradores se pusieron en contacto con otros usuarios para avisarles de que tenían sus entradas.
Finalmente, los organizadores explicaron que la empresa externa Casfid Servicios, su proveedor de estos servicios tecnológicos, era la responsable del error. Dicha organización lo asumió como un fallo interno causado durante el microcacheo del servidor en el que se alojaba el formulario. Una migración de DNS podría ser la causa.
Entre los datos desprotegidos, figuraban el nombre, los apellidos, el teléfono, la dirección postal y el correo electrónico de los afectados. Aunque los datos bancarios no quedaron expuestos, las entradas modificadas no servirán y nadie recibirá pulseras que no le pertenecen, el problema fue muy serio. Y, probablemente, también las consecuencias.
¿Qué consecuencias puede tener este incidente?
La protección de datos es prioritaria para las empresas y este caso práctico lo demuestra. Más allá del descrédito y la pérdida de imagen de Mad Cool, tendrá que afrontar la previsible investigación que inicie la AEPD por este suceso.
Después del aluvión de denuncias individuales y de asociaciones de consumidores, la AEPD ha tomado cartas en el asunto. Está reuniendo la información pertinente sobre esta brecha en la seguridad de los datos personales. La investigación está en marcha: sus profesionales han contactado con diferentes responsables de la entidad y de sus compañías colaboradoras.
Técnicamente, cerrar la plataforma, determinar la causa del fallo, corregirla e invalidar las entradas descargadas son exigencias incuestionables. También habrá que recuperar una copia de la base de datos existente justo antes del fallo informático.
Sin embargo, el daño ya está hecho. La vulneración de los artículos 25 y 32 del RGPD es la principal acusación vertida hacia esta firma. También se alude a los artículos 73 y 83.4 para catalogar lo ocurrido como infracción grave.
Las posibles sanciones contempladas por la legislación vigente pueden alcanzar los 10 millones de euros. Así, para este tipo de infracciones se fija en el 2 %, como máximo, del volumen total de negocio anual del inculpado.
Un fallo informático que convierte en vulnerables los datos personales con los que trabajas es un problema muy serio. ¿Has hecho tus deberes y tienes bien cuidados todos tus archivos digitales?