Un fallo en el Servicio Vasco de Salud permitía acceder a datos personales de cualquier ciudadano

Una vulnerabilidad en el Servicio Vasco de Salud (Osakidetza) permitía acceder a datos personales, como NIF, número de teléfono o el propio certificado covid, de cualquier ciudadano registrado en la base de datos de Osakidetza.

Según ha podido saber THE OBJECTIVE, esta vulnerabilidad habría estado presente desde junio de 2021 hasta el pasado 4 de diciembre, día en el que se denunció dicho fallo. Seis meses en los que cualquier persona podía acceder a los siguientes datos de un tercero:

• Nombre y apellidos
• Fecha de nacimiento
• NIF
• Número de teléfono
• Número TIS (Tarjeta Individual Sanitaria)
• CIC (Código de Identificación Corporativo)
• Certificado de vacunación digital:
  • Código QR
  • Nombre de la vacuna administrada
  • Número de dosis administradas
  • Fecha de última vacunación
• Certificado de recuperación: documento certificatorio de haber superado la enfermedad tras haber tenido PCR positiva.
• Certificado de prueba negativa: documento certificatorio de prueba PCR negativa.

¿Dónde estaban presentes estas vulnerabilides?

Las vulnerabilidades se encontraban en las páginas web de Osakidetza para la generación de certificados relacionados con el covid. Para identificarse, se ofrecen tres métodos, de los cuales dos fallaban.

1. Mediante identificación electrónica (BakQ y otros certificados digitales)
2. TIS + Fecha de nacimiento + Primer apellido + Código de verificación SMS
3. DNI + Fecha de nacimiento + Primer apellido + Código de verificación SMS

Los métodos 2 y 3 fracasaban al llevar a cabo su cometido, según aseguran a THE OBJECTIVE, ya que podías obtener el certificado covid de cualquier persona saltándote el código de verificación por SMS. En este punto es importante mencionar que estos certificados de vacunación contienen, al menos, el nombre completo, la fecha de nacimiento, el fabricante de la vacuna administrada, el número de dosis y la fecha de vacunación.

¿Cómo se podía obtener el certificado de vacunación de cualquier ciudadano?

Una vez que introducías los datos en el formulario, DNI o TIS, fecha de nacimiento y primer apellido se te informaba de que se iba a enviar un código de verificación mediante un SMS al número de teléfono que tuviese asociado a tu persona.

Sin embargo, si la curiosidad te llevaba a mirar el código fuente de la página –que solo es botón derecho-ver código fuente– podías ver que era posible modificar el imput del número de teléfono, de forma que podías introducir el que quisieras. Posteriormente el sistema enviaba el SMS de verificación a ese número y finalmente accedías a la página de generación de certificados.

«En caso de que no tuvieses los datos del primer paso del formulario (DNI, fecha de nacimiento y primer apellido), podías saltarte el procedimiento igualmente, utilizando el TIS de la persona», cuentan a THE OBJECTIVE, «dado que el TIS es un simple número de ocho dígitos, también se podía probar con TIS aleatorios, que seguramente iban a pertenecer a alguien».

El fallo, como hemos comentado anteriormente, se resolvió horas después de comunicarse. Sin embargo, durante seis meses, los datos personales de más de dos millones de habitantes habrían estado al alcance de cualquiera expuestos a cualquier tipo de vulnerabilidad.