La web oficial de las oposiciones de Radiotelevisión Española presenta otro fallo de seguridad por el cual las comunicaciones entre los opositores y la empresa quedan expuestas en internet y pueden ser consultadas por cualquier usuario, según han alertado a El Independiente participantes en el proceso.

La citada página cuenta con una sección que se denomina 'Contáctenos', que es el cauce oficial por el que los 21.000 opositores deben contactar con la corporación para transmitir diferentes cuestiones sobre el proceso, explican fuentes sindicales.

Para poder establecer ese cauce de comunicación, deben aportar su nombre, al menos un apellido, su número de DNI y su correo electrónico. En la descripción, deben explicar el motivo por el cual quieren enviar el mensaje.

Lo más llamativo -inciden estos informantes- es que cualquiera puede establecer esa comunicación. Este periódico ha hecho una prueba y ha podido remitir un mensaje. A partir de ahí, ha recibido un correo que confirma que se ha recibido la consulta.

Algunos opositores han alertado a este periódico de la existencia de un fallo de seguridad por el cual, en el momento en el que RTVE ofrece una respuesta al aspirante, sus datos quedan expuestos de una forma sorprendente.

Básicamente, porque en ese momento el interesado recibe un nuevo correo electrónico que incluye una dirección URL. Ese enlace -que aparece censurado en la imagen- no es privado, sino que es público. De hecho, quien firma esta información ha comprobado que puede acceder a su contenido sin estar registrado en la web ni formar parte del proceso de oposición.

En la web que se abre en el navegador se puede acceder a los datos personales del formulario de consulta -que incluyen el DNI-, al mensaje original y a la respuesta que ha ofrecido la empresa, lo que rompería con el secreto de esta comunicación entre las partes.

Este periódico ha contactado con fuentes oficiales de Radiotelevisión Española para intentar averiguar si eran conscientes de este fallo de seguridad. Sin embargo, no ha obtenido respuesta.

El fallo de seguridad original

Hace 10 días, otros opositores denunciaron que existía la posibilidad de acceder a los datos personales de los opositores a través de direcciones URL que eran públicas. Directivos de la corporación reconocieron, posteriormente, en una reunión con los sindicatos que fueron conscientes de esos hechos a través de la llamada de El Independiente.

Eso sí, en los correos de contacto que han remitido en los días precedentes a los afectados, han señalado que todo ha sido consecuencia de "un ciberataque" y, de hecho, también transmitieron ese mensaje al Comité de Empresa. Incluso han puesto los hechos en conocimiento de la Policía -con una denuncia-, del Instituto Nacional de Ciberseguridad (INCIBE) y de la Agencia Española de Protección de Datos (AEPD).

Como consecuencia de esta vulnerabilidad, quedaron comprometidos 943 documentos y se produjeron 218 descargas con datos de 57 personas. En ese caso, fue sencillo comprobar que los enlaces a esos documentos eran públicos y que cualquiera podía acceder a ellos sin que se produjera un hackeo del sistema.

La empresa que subcontrató RTVE para gestionar este proceso es Tea Cegos, si bien la responsable subsidiaria del tratamiento de los datos de los opositores es la propia corporación. Cabe recordar que en este proceso hay inscritas 21.000 personas y que los exámenes de las principales categorías está previsto que se desarrollen entre septiembre y octubre.

En el caso de algunos de estos aspirantes, han quedado comprometidas durante el proceso sus comunicaciones con la corporación, así como datos como los bancarios o los personales. También certificados profesionales o de discapacidad; o un documento policial.