En una España azotada por la ciberdelincuencia a raíz del coronavirus, las brechas de seguridad cibernéticas son algo a tener muy en cuenta en estos días. La última en salir a la palestra ha sido la brecha que ha sufrido la web de la Generalitat de Cataluña, que ha dejado expuestos más de 5.000 datos de sus ciudadanos.

El fallo, que ha sido confirmado por la propia Generalitat, tiene su base en una vulnerabilidad que permitía la inyección de código malicioso. La vulnerabilidad ha afectado al menos a 4 dominios de la Generalitat, referentes a herramientas usadas para sectores de cultura y educación.

Se ha expuesto unos 5.597 registros de datos. En estos se incluyen datos de extrema intimidad, como correos electrónicos y contraseñas. También se han filtrado datos como centros educativos.

Más de 5.000 datos expuestos

La vulnerabilidad provenía de una inyección de código SQL. Esta está usualmente presente en vulnerabilidades provocadas en el desarrollo de aplicaciones web y móviles. Esta se vale de aplicaciones en el nivel de validación de entradas para realizar operaciones sobre bases de datos.

• http://culturaeducacio.gencat.cat
• https://jocdelsdrets.gencat.cat/
• login.regsega.cat
• aplicacions.ensenyament.gencat.cat

Este último dominio, perteneciente a la web de servicios territoriales del Departamento de Educación catalán, es el que ha sufrido la filtración más grande, la que supera los 5.000 registros de datos. Según la institución, la filtración ha afectado únicamente a 180 usuarios, negando que estas webs contuvieran datos sensibles o en su defecto críticos. De hecho, se cree que la vulnerabilidad no ha sido explotada, aunque se ha abierto una investigación al respecto.

No fue hasta la semana pasada que se descubrió el fallo, cuando el investigador de ciberseguridad Touseef Gul alertó a la Generalitat del problema. Hasta 3 de las páginas se han retirado ya, encontrándose en estado de mantenimiento y la Generalitat ya está investigando el hecho.

No es la primera vez

No es ni mucho menos la primera vez que estamos ante la exposición de datos realizada de esta forma. Sin ir más lejos, hace unos pocos meses presenciamos la brecha de seguridad que afectó a Freepik, uno de los sitios de imágenes stock más grandes de Internet. El sitio dejó expuestos datos de hasta 8 millones de usuarios, aunque los datos recogidos fueron menos sensibles.

El problema fue exactamente el mismo: la inyección de SQL, que permitió a los atacantes acceder a las bases de datos de los usuarios. Estos extrajeron datos de hasta 8.3 millones de usuarios, principalmente correos electrónicos. El año pasado ocurrió algo similar; los datos de miles de visitantes de la Alhambra de Granada quedaron expuestos. Concretamente, de 4.5 millones de usuarios.