22 de diciembre de 2014

ESPAÑA. El Portal de la Transparencia grave problema de seguridad desde su inaguración

Hacienda, responsable de su mantenimiento, afirma que el problema está arreglado.

Detalles del error
  • Un grave error de seguridad ha afectado al Portal de la Transparencia desde su inauguración, hace una semana. Mediante el cambio al azar de parte de la URL de un resultado de una consulta, se ha podido acceder de forma directa y fácil a la identificación de otras consultas, de forma aleatoria. Los datos de esta forma accesible incluían al menos el nombre, los apellidos, el DNI o NIF y el contenido de la consulta de dichos ciudadanos que consultan. El problema ya ha sido solventado, informa el Ministerio de Hacienda.
  • El fallo, descubierto por el experto en privacidad Samuel Parra, permitía acceder, a partir de una consulta de un ciudadano, a dichos datos personales mediante el cambio de una parte de la dirección que aparece en el navegador (URL) al obtener el comprobante de la consulta, un documento PDF.
  • Este portal, en línea desde el pasado día 10 de diciembre, proporciona hasta 530.000 registros accesibles de información sobre estructura de la Administración General del Estado tales como sueldos de altos cargos, catálogos de bienes inmuebles, contratos públicos y subvenciones, y además habilita a los ciudadanos para que realicen solicitudes de información de cualquier tema público. Son sus resultados los que se han visto 'desprotegidos'.
  • Aunque dichas consultas están protegidas por estar verificadas mediante un certificado digital o el propio DNIe, lo cierto es que el Portal de Transparencia no verificaba los permisos para acceder a otros documentos ajenos una vez recibido el resultado de la consulta.
  • Samuel Parra, miembro de la firma ePrivacidad, pudo comprobar que este error permite el acceso indiscriminado a las solicitudes de información que cualquier ciudadano haya realizado utilizando el Portal de la Transparencia del Gobierno de España.
Un error simple pero grave
  • Para Parra, "la gravedad del fallo radica precisamente en su sencillez para explotarlo; no hace falta conocimientos avanzados de seguridad informática ni utilizar complicados programas informáticos, ni conocer ninguna contraseña, basta un navegador de Internet y un poco de imaginación para tener acceso a los cientos de peticiones de información que ya han presentado los ciudadanos, donde encontraremos su nombre y apellidos, su número de DNI, su correo electrónico, su domicilio (si fue facilitado) y la concreta petición de información".
  • Desde el punto de vista de la protección de los datos de carácter personal, conviene recordar que la Ley Orgánica de Protección de Datos impone la obligación a aquellos sujetos responsables de los ficheros de datos de adoptar medidas de índole técnica necesarias que garanticen la seguridad de los datos y eviten su acceso no autorizado.
  • "Dado que nos encontramos ante un fallo de seguridad que no supone quebrar ninguna medida de seguridad específica, ni la utilización de contraseñas ajenas, la falta de diligencia a la hora de diseñar el Portal de Transparencia resulta manifiesto", apunta Parra, y destaca: "La más básica de las auditorías de seguridad informática habría detectado el problema".
  • Este periodista trató de poner en contacto con diversas instancias ministeriales desde primera hora de la mañana del miércoles. Desde Presidencia del Gobierno afirmaron que el desarrollo técnico depende del Ministerio de Hacienda y Administraciones Públicas.
  • Desde Hacienda, su protocolo de actuación impidió explicar el fallo directamente al técnico encargado de la seguridad del portal. Fuentes del mismo ministerio aseguraron a medianoche del miércoles que los técnicos responsables del portal habían solucionado el problema, después de haber trabajado en la resolución de este agujero de seguridad durante toda la jornada.
Fuente: El Mundo.es