Los datos personales y documentos de identidad de cientos de miles de socios de clubs de cannabis en España han estado accesibles en internet sin ningún tipo de protección durante un periodo prolongado. Los datos incluyen pasaportes, DNIs, carnets de conducir, direcciones, teléfonos e incluso hábitos de consumo de estos usuarios.

La brecha, descubierta por un investigador de seguridad independiente, afecta a cerca de un millón de personas y, según el propio investigador, a usuarios de cannabis con proyección pública que preferían mantener en privado sus hábitos de consumo.

Un fallo en el proveedor de software

Los clubs de cannabis españoles utilizan habitualmente softwares de gestión para controlar el acceso de sus socios, registrar sus consumos y gestionar la contabilidad del local. Buena parte de ellos usan el programa de una empresa irlandesa llamada Cannabis Club Systems (CCS), anteriormente conocida como Nefos Solutions.

La empresa ofrece además un sistema de verificación de identidad muy útil para los clubes: los recepcionistas fotografían el documento del socio y lo suben a los servidores de Nefos para agilizar futuras visitas. La compañía también comercializaba una aplicación, PuffPal, que permitía el acceso mediante código QR.

El problema, según ha desvelado The Verge, estaba en cómo Nefos almacenaba esa información. Sammy Azdoufal, investigador de seguridad reconocido por haber expuesto otras vulnerabilidades graves en protección de datos, analizó la aplicación PuffPal y descubrió que los documentos de identidad se guardaban en direcciones web públicas con una estructura predecible, sin contraseña ni ningún control de acceso. Cualquier persona con mínimos conocimientos técnicos podía acceder a ellos simplemente escribiendo la URL correcta.

La magnitud del problema era considerable: cada día se subían unos 5.000 nuevos documentos a esos servidores desprotegidos, y en total Azdoufal identificó cerca de 985.000 archivos expuestos. Además de las imágenes de los documentos, los perfiles de usuario incluían números de teléfono, direcciones postales, correos electrónicos y datos sobre las variedades de cannabis consumidas y la frecuencia de visitas a los clubes.

Otras vulnerabilidades en cadena

El análisis de Azdoufal reveló brechas de seguridad en otros frentes. El código de la aplicación PuffPal contenía sin apenas protección una clave secreta del sistema de pagos Stripe, de manera que el portal de administración de los clubs era accesible para cualquiera con unos mínimos conocimientos informáticos. Los mensajes privados entre clubs y socios también estaban expuestos así como los perfiles de usuario.

Tras ser contactada por The Verge y ofrecer respuestas que no arreglaron el problema, la empresa acabó desactivando a mediados de junio la app PuffPal, notificó a la Autoridad irlandesa de Protección de Datos (DPC) y comunicó a los clubs el cierre del sistema de acceso por QR.

Andreas Nilsen, cofundador de Nefos, reconoció que la empresa incumplió la normativa europea, que exige notificar las brechas de datos en un máximo de 72 horas. “Recibiremos la sanción que corresponda”, admitió. Nilsen atribuyó parte de la responsabilidad técnica a una empresa externa encargada de desarrollar PuffPal, aunque asumió que la responsabilidad última es de su compañía.

Según este directivo de la empresa, no hay evidencias de que nadie más allá de Azdoufal haya accedido a los datos, aunque eso es difícil de verificar. La empresa ha prometido que no relanzará PuffPal hasta que una auditoría de seguridad independiente certifique que el sistema es seguro y se ha desvinculado de la compañía que lo desarrolló.

El diputado de Comuns-Sumar Félix Alonso ha argumentado ante el Tribunal Supremo que las contrataciones que efectuó durante su mandato como alcalde de Altafulla (Tarragona) y que están bajo investigación “respondieron exclusivamente a criterios de especialización técnica” y no a “consideraciones de naturaleza política o partidista”, según fuentes de la defensa.

Alonso ha declarado este lunes en el Tribunal Supremo durante alrededor de 40 minutos ante el juez Vicente Magro en la causa en la que se le investiga por un posible delito de prevaricación en relación con la adjudicación de contratos a varias empresas cuando era alcalde de Altafulla entre 2011 a 2019, informa EFE.

Los hechos por los que está citado se enmarcan en la contratación llevada a cabo por el Ayuntamiento de Altafulla, del que era alcalde Alonso, con las empresas Milá Advocats SLP y Sinergia Dret i Medi Ambient SLP entre 2011 a 2019, con las que habría mantenido distintas relaciones sin sujetarse a la normativa debida.

Ante el Supremo, Alonso ha argumentado que existen informes técnicos “contradictorios” que, por un lado, avalan la forma de contratación empleada en estos años y por otro lado “plantean reservas” sobre la conveniencia de recurrir a mecanismos de concurrencia pública, según las mencionadas fuentes.

El Supremo investiga la utilización de contratos menores, “con lo que eludía los requisitos de publicidad, y permitía la adjudicación directa y posibilitaba una elección arbitraria del adjudicatario” en lugar de acudir al procedimiento correspondiente; o si a veces no acudía “a procedimiento alguno”.

Las fuentes sostienen que incluso si se considerara incorrecta la fórmula de contratación, se trataría en el peor de los casos de una eventual cuestión administrativa en el ámbito de la contratación pública, en la que nunca concurrirían los elementos típicos exigidos por el derecho penal.

Además de Alonso, este lunes han comparecido otros doce testigos, entre ellos el exconseller y actual diputado autonómico de ERC Joan Ignasi Elena, el excoordinador de la extinta Iniciativa per Catalunya Verds (ICV) Joan Herrera o el exdiputado catalán y exconseller de Medio Ambiente Salvador Milà, varios agentes de los Mossos d'Esquadra y trabajadores de la Oficina Antifraude de Catalunya.

Según han explicado fuentes jurídicas, queda pendiente la declaración de una funcionaria de Antifraude, que hoy no ha podido declarar y que lo hará el próximo 1 de julio.

Ante el juez, Alonso ha explicado que el Ayuntamiento de Altafulla contaba con personal escaso y que, ante esta situación, decidió contratar los servicios del despacho de Milà, que llevaba más de 50 años prestando asesoría jurídica a entes municipales de todo signo político.

Este extremo ha sido corroborado ante Vicente Magro por parte de la interventora municipal, que ha declarado que esta falta de personal generaba problemas en el ayuntamiento, que tenía la contratación “manga por hombro”, según las mencionadas fuentes.

El consistorio cambió de prestador de servicios posteriormente, optando por Sinergia, la sociedad creada por Herrera y Elena, después de que Milà abandonase su despacho para ocupar un cargo en el Área Metropolitana de Barcelona.

Ante la imposibilidad de contratar más personal debido a las restricciones impuestas por la ley Montoro, el ayuntamiento que dirigía Alonso Cantorné optó por hacer un contrato menor para estos servicios: “No necesitaba un servicio recurrente, sino un funcionario que no tenía y que la ley impedía contratar”, agregan fuentes de la defensa.

Está previsto que la defensa de Alonso solicite dos diligencias para acreditar el tamaño de la plantilla del Ayuntamiento de Altafulla en el momento de los hechos investigados, para posteriormente pedir el archivo de la causa. “Ni siquiera está claro que sea una irregularidad administrativa”, sostienen fuentes de la defensa.