Los nombres completos, el teléfono móvil, el correo electrónico y el código postal de cientos de espectadores del Gran Teatre del Liceu de Barcelona han estado expuestos al público durante días hasta que este periódico lo ha notificado al teatro y ha preguntado si querían hacer algún comentario.
Son 670 los espectadores cuya información privada se ha visto expuesta. Todos ellos respondieron a un cuestionario que hizo el Liceu a sus clientes hace aproximadamente un año durante la preparación del 175 aniversario, que se celebró este domingo. Los datos podrían llevar expuestos desde entonces aunque desde la institución señalan que el fallo se ha debido a un “error humano” reciente que ya se ha subsanado.
El Liceu sufrió hace nueve días un ataque informático después de que unos hackers accedieran al servidor de la web. Desde la dirección del teatro, sin embargo, se aseguró el lunes en un comunicado que “no se había comprometido ningún tipo de información sensible” relacionada con datos personales.
Este periódico descubrió entonces que los datos personales de cientos de espectadores registrados en la página web estaban expuestos al público (al menos desde el lunes) y accesibles para cualquiera. Desde el Liceu lo desvinculan del ataque informático e insisten en que ha sido un error del proveedor externo que ha programado la web. +
Los datos expuestos afectan a los usuarios que respondieron a diversos formularios que se han publicado en la web: uno en el que pedían a los espectadores que rememoraran anécdotas vividas en el teatro, otro que recogía sugerencias de personas menores de 35 años y otro en el que se sorteaban abonos de una temporada para el recinto. Para rellenarlo se pedían una serie de datos personales que deben estar protegidos, según la normativa nacional y europea de protección de datos.
Desde la empresa proveedora que gestiona el software de compra y venta de entradas en el teatro se han puesto en contacto con elDiario.es este jueves por la mañana para precisar que en su servidor no ha habido ninguna brecha de seguridad. “No se han visto expuestos ni comprometidos en ningún sentido los datos que nuestro cliente, el Gran Teatre del Liceu, posee, como titular de su base de datos, en nuestra aplicación de ticketing y que son relativos a la compra online de entradas, abonos y demás productos”, señala su consejero delegado en un comunicado.
Un 'hackeo' en el 175 aniversario
Coincidiendo con la celebración del 175 aniversario de este ilustre teatro barcelonés (celebrado el pasado domingo con lleno total y multitud de autoridades), la entidad informó la semana pasada de que había sufrido el ataque de un virus informático. Fuentes de los trabajadores del Liceu, sin embargo, aseguraron entonces a este diario que se trataba de algo más: los ciberdelincuentes pidieron a la entidad un rescate a cambio de no publicar los datos sensibles que habían obtenido y renunciar a encriptarlos para evitar que la dirección del centro pudiera acceder más a ellos.
El lunes, después de que La Vanguardia avanzara que el Liceu estaba siendo víctima de un chantaje por parte de un grupo de hackers, el teatro barcelonés confirmó que las personas que habían irrumpido en su servidor les solicitaban un pago en criptomonedas para cesar su ataque. Insistían en todo momento, sin embargo, en que no estaban afectados ni datos del departamento financiero ni tampoco información sobre socios, sino que toda la información a la que habían accedido los ciberdelincuentes era de “uso interno”.
El Liceu denunció el caso ante los Mossos, que confirman a este periódico que la investigación sigue abierta, y lo pusieron también en conocimiento de la Agència Catalana de Protecció de Dades. También se contrató a una empresa especializada para que “reconstruyera” el sistema informático y protegiera al servidor de posibles futuros ataques.
Este miércoles, antes de conocer la exposición pública de datos, desde el Liceu señalaban que el problema estaba “prácticamente resuelto”. “Falta el acceso a alguno de los servidores pero la mayoría del personal están trabajando con normalidad”, explicaban desde el teatro. “Solo hay algunos casos concretos cuyas direcciones de correo no se han podido recuperar”.