El Gobierno de Cataluña deja al descubierto datos personales de catalanes con derecho a
voto y expone a fraude a cinco millones de personas al difundir en Internet los
últimos 5 dígitos del DNI y la letra, la fecha de nacimiento, el código postal
y el colegio donde votar.
Según
han alertado varios expertos, el sistema de cifrado de los datos recopilados en
secreto y empleados por las autoridades catalanas para elaborar el censo que
iba a permitir el referéndum del 1 de octubre es fácilmente descifrable. El
foro especializado Hacker News ha sido el primero en informar de este grave
fallo de seguridad.
El
protocolo que empleó la Generalitat para burlar la censura del Gobierno recibe
el nombre de IPFS y consiste, a grandes rasgos, en una red de acceso
distribuido y descentralizado con una única fuente de información. “Es un
sistema P2P —entre usuarios— que crea una red social en la que se almacenan
archivos sin que haya intermediarios”, explica Antonio Gonzalo, fundador de
Ethereum Madrid. “El contenido que se sube a la red es público y cualquiera
puede ver el contenido que hay dentro”. En otras palabras: con IPFS, cada
usuario descarga la web y se convierte en un servidor y, para que esto
funcione, se tiene que poder replicar la web, por lo que se replica la base de
datos. Por este motivo, es imprescindible encriptarla.
“El
mecanismo de acceso a los ficheros se establece a través de un hash o algoritmo
de resumen, que se descifra con un código que funcionaría como una firma
digital”, expone Victor Escudero, experto en ciberseguridad. Este código
consistía en una sucesión los últimos cinco dígitos del DNI, la letra del NIF,
la fecha de nacimiento y el código postal. De esta manera, los ciudadanos
catalanes podían consultar el colegio electoral en el que les tocaba votar. El
problema está en que estos datos siguen un patrón sencillo y responden a un
número limitado de combinaciones—365 días al año, 23 letras posibles en un
NIF…— que un ordenador puede ir probando hasta acertar y descifrar casos
particulares, en los que recogería estas cuatro variables para asociarlas a un
usuario concreto.
Han
pasado ya unos cuantos días desde el #1Oct, así que creo que urge el contar
esta historia.
— Sergio Lopez (@slp1605) 4 de octubre
de 2017
El
foro Hacker News ha localizado la vulnerabilidad del procedimiento: el sistema
de cifrado de datos empleado por las autoridades catalanas sería fácilmente
descifrable sin necesidad de contar con potentes equipos. El profesional
informático Sergio López ha probado él mismo esta posible vulnerabilidad
empleando datos falsos, y ha comprobado que es real: un usuario avanzado puede
obtener de una manera sencilla los datos personales del censo.
“Para
sortear el bloqueo de las webs se emplea un sistema que distribuye la web
completa y pone la base de datos al descubierto aunque esté cifrada”, explica
López a EL PAÍS. Mediante un ataque de “fuerza bruta” y en unas pocas horas, se
puede obtener dicha información. López se refiere también a la debilidad del
cifrado: “Una parte enorme de la clave es predecible: cualquier puede deducir
que en un código postal concreto en un año determinado va a haber una secuencia
concreta”. Este profesional de la informática ha publicado el hilo en Twitter,
alarmado al comprobar que “cualquiera” puede obtener estos datos y con otros
fines.
Según
el experto, los datos "han sido comprometidos" y "están a la
disposición de cualquiera en Internet". "Si yo, que NO me dedico a la
seguridad TI y sólo tengo conocimientos básicos de criptografía, me he dado
cuenta, los malos lo saben seguro", asegura en su hilo de Twitter.
La
Agencia Española de Protección de Datos asegura que una posible sanción a la
Generalitat sería competencia de la Autoridad Catalana de Protección de Datos.
Esta última "ha iniciado un trámite de información previa para comprobar
el contenido de esta información y su alcance", según ha indicado una
portavoz a EL PAÍS.
Fuente:
El Pais.com