COIT y AEIT

Protección de Datos abre expediente sancionador al Colegio y la Asociación de ingenieros de telecomunicaciones por "vulnerar la seguridad"

Los colegiados y asociados aseguran que cualquier usuario puede modificar sus datos y suplantar su identidad.

La Agencia Española de Protección de Datos ha iniciado un procedimiento sancionador contra el Colegio Oficial de Ingenieros de Telecomunicaciones (COIT) y la Asociación Española de Ingenieros de Telecomunicación (AEIT), ante las denuncias presentadas por los colegiados y asociados, quienes aseguran que cualquier usuario puede modificar sus datos y suplantar su identidad.

Así, según explicó el lunes el organismo, entre los datos personales que figuran en los documentos presentados por los denunciantes se encuentran el nombre, los apellidos, el NIF, la dirección de correo electrónico y, en algunos casos, el número de cuenta bancaria y el teléfono de colegiado. En este sentido, ha constatado que es posible acceder a dichos datos sin necesidad de contraseña alguna.

El Colegio de Ingenieros denunció que, entre finales de 2006 y principios de 2007, sus servidores sufrieron diversos ataques de seguridad, "basados en accesos de no autorizados mediante técnicas de fuerza bruta, por los cuales se pudo haber accedido a datos de caracter personal de miembros, tanto del COIT como de la AEIT".

A raíz de estos acontecimientos, la dirección del colegio ordenó la clausura del módulo, en espera de que se garantizase el cumplimiento de todas las medidas de seguridad y no se viera comprometida ningún tipo de información de caracter personal.

Posteriormente, la agencia solicitó a dichos representantes el acceso al área personal del sitio web para poder realizar las pertinentes comprobaciones.

Nivel de seguridad, mejorable

Asimismo, determinó que el nivel de seguridad de los formularios era "mejorable en lo referente a los sistemas" y detectó la existencia de diversas vulnerabilidades "cuya explotación no requería un amplio conocimiento técnico, evidenciando que la seguridad no fue un elemento clave a la hora de configurar los desarrollos".

Igualmente, señala que los hechos expuestos son contrarios al artículo 9.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en la que se dispone que el responsable de los ficheros debe adoptar medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos expuestos y eviten su alteración, pérdida, tratamiento o acceso no autorizado, teniendo en cuenta el riesgo que ello conllevaría.

Finalmente, el director de la agencia ha otorgado a estos organismos un plazo de quince días hábiles para que formule las alegaciones convenientes y proponga las comprobaciones que considere oportunas y ejercite el derecho de audiencia.

Ya somos 196.325