La página web del Ayuntamiento de Sevilla vuelve a tener otro agujero de seguridad que permite consultar datos fiscales que deberían estar protegidos. De nuevo el fallo está en la web de la Agencia Tributaria local, que deja ver todos los datos relacionados con los impuestos municipales, deudas pendientes con la Hacienda local e incluso los números de las cuentas corrientes en las que están domiciliados los recibos. Para ello, sólo es necesario acceder con un certificado digital e introducir un Número de Identificación Fiscal (NIF), para el caso de las personas físicas, o un Código de Identificación Fiscal (CIF), para las personas jurídicas o empresas.

Es el segundo error que deja al descubierto los datos confidenciales de miles de contribuyentes sevillanos que se descubre en la web del Ayuntamiento hispalense en apenas dos meses. A diferencia del primer caso, ahora es necesario acceder a la oficina virtual de la Agencia Tributaria con el certificado digital expedido por la Fábrica Nacional de Moneda y Timbre. Si se dispone de esta firma electrónica, sólo hace falta buscar una pestaña situada en la parte inferior izquierda de la página, en color gris, que indica la opción de cambiar de contribuyente. Se abre otra pestaña que pide un NIF o un CIF. Al introducir uno de estos números, inmediatamente aparece la identidad de la persona propietaria de ese NIF o la empresa que tiene ese CIF y todo su estado de cuentas actual con el Ayuntamiento.

El internauta puede ver desde las multas impagadas hasta las propiedades inmobiliarias y los vehículos a nombre de la persona o empresa que se consulte. Los bienes inmuebles tributan con el IBI y los coches y motos con el Impuesto de Circulación de Vehículos, de ahí que aparezcan en el registro municipal con todo lujo de detalles. No sólo figuran datos como la marca, modelo o matrícula del vehículo en cuestión, sino incluso la cuenta corriente del banco donde está domiciliado el pago del sello municipal. Igual ocurre con las viviendas o bienes inmuebles en propiedad.

Es decir, sólo introduciendo el DNI de una persona, el usuario puede conocer qué pisos, casas, locales o garajes tiene a su nombre, dónde vive y en qué banco y a qué cuenta tiene asociado el pago de los impuestos. En el caso de las empresas y otro tipo de sociedades, el internauta puede saber también las deudas pendientes con el Ayuntamiento y el plazo que tienen para pagarlas, que suele ser más amplio al tratarse de cantidades mayores, así como el dinero que paga en concepto de Impuesto de Actividades Económicas (IAE).

Es un caso muy similar al detectado hace un par de meses, a principios del mes de septiembre. La diferencia es que ahora ha de accederse mediante firma digital. Quien no disponga de este certificado electrónico no puede consultar estos datos, ya que en la interfaz no le aparece la opción de cambiar de contribuyente, que es la que permite introducir cualquier NIF o CIF.

En cualquier caso, resulta llamativo que de nuevo se puedan conocer miles de datos confidenciales de los sevillanos por una mala gestión de la web municipal. El primer agujero de seguridad fue denunciado por el portavoz de Ciudadanos en el Consistorio sevillano, Javier Millán, que pidió una auditoría urgente y aseguró que el agujero de seguridad de la web podía haber sido algo intencionado.

Tras esta denuncia, el alcalde, Juan Espadas, llevó el caso a la Fiscalía y ordenó una revisión integral del portal de la Agencia Tributaria. El Ayuntamiento rastreó todas las direcciones IP desde las que se hacían hecho las consultas de datos protegidos y creó una comisión interna para garantizar que no se repitieran irregularidades similares. El portavoz del gobierno, Antonio Muñoz, definió el hecho como "sumamente grave" y aseguró que no podía volver a suceder.

La Fiscalía anunció después que no investigaría el agujero de la web municipal al considerar que no había indicios de que se hubiera registrado una extracción irregular de los datos. Una auditoría informática reveló que se realizaron 105 consultas y se buscó información de 51 personas a través de su DNI. Espadas apercibió a la empresa que gestiona la página de Hacienda, Tecnocom, que podría enfrentarse a multas de entre 40.000 y 300.000 euros por vulnerar la Ley de Protección de Datos.