La Generalitat deja al descubierto datos personales de todos los catalanes con derecho a voto

M¨¢s informaci¨®n

Cinco millones de DNI por el ciberespacio

Las redes prorrusas aumentan un 2.000% su actividad a favor del refer¨¦ndum en Catalu?a

In English: Privacy of voter data at risk after Sunday referendum

En su huida hacia adelante para organizar el refer¨¦ndum suspendido por el Tribunal Constitucional, el Gobierno de Catalu?a ha dejado al alcance de cualquiera con conocimientos de cifrado de datos todo el censo de esa comunidad aut¨®noma. Los datos de m¨¢s de cinco millones de ciudadanos mayores de 18 a?os que, por s¨ª mismos o cruzados con otras bases de datos, pueden ser instrumentos para cometer fraudes y que han estado deambulando por el ciberespacio durante las ¨²ltimas semanas, tal y como adelant¨® EL PA?S el pasado 28 de septiembre.

Seg¨²n han alertado varios expertos, el sistema de cifrado de los datos recopilados en secreto y empleados por las autoridades catalanas para elaborar el censo que iba a permitir el refer¨¦ndum del 1 de octubre es f¨¢cilmente descifrable. El foro especializado Hacker News ha sido el primero en informar de este grave fallo de seguridad.?

El protocolo que emple¨® la Generalitat para burlar la censura del Gobierno recibe el nombre de IPFS y consiste, a grandes rasgos, en una red de acceso distribuido y descentralizado con una ¨²nica fuente de informaci¨®n. ¡°Es un sistema P2P ¡ªentre usuarios¡ª que crea una red social en la que se almacenan archivos sin que haya intermediarios¡±, explica Antonio Gonzalo, fundador de Ethereum Madrid. ¡°El contenido que se sube a la red es p¨²blico y cualquiera puede ver el contenido que hay dentro¡±. En otras palabras: con IPFS, cada usuario descarga la web y se convierte en un servidor y, para que esto funcione, se tiene que poder replicar la web, por lo que se replica la base de datos. Por este motivo, es imprescindible encriptarla.

¡°El mecanismo de acceso a los ficheros se establece a trav¨¦s de un hash o algoritmo de resumen, que se descifra con un c¨®digo que funcionar¨ªa como una firma digital¡±, expone Victor Escudero, experto en ciberseguridad. Este c¨®digo consist¨ªa en una sucesi¨®n los ¨²ltimos cinco d¨ªgitos del DNI, la letra del NIF, la fecha de nacimiento y el c¨®digo postal. De esta manera, los ciudadanos catalanes pod¨ªan consultar el colegio electoral en el que les tocaba votar. El problema est¨¢ en que estos datos siguen un patr¨®n sencillo y responden a un n¨²mero limitado de combinaciones¡ª365 d¨ªas al a?o, 23 letras posibles en un NIF¡­¡ª que un ordenador puede ir probando hasta acertar y descifrar casos particulares, en los que recoger¨ªa estas cuatro variables para asociarlas a un usuario concreto.

El gobierno espa?ol, siguiendo las directrices de la justicia, intent¨® por todos los medios cerrar??las webs que informaban a los ciudadanos catalanes sobre d¨®nde votar. Esta informaci¨®n era crucial, puesto que los ciudadanos deb¨ªan saber de antemano a qu¨¦ colegio dirigirse para depositar su voto, y por este motivo, el propio Carles Puigdemont, presidente de la Generalitat, difundi¨®?una app mediante la cual los ciudadanos obtendr¨ªan dicha informaci¨®n.

Las autoridades espa?olas fueron bloqueando el acceso a las sucesivas webs que conten¨ªan esos datos, con lo que la Generalitat opt¨® por utilizar un sistema de r¨¦plica de los contenidos (incluyendo la base de datos, que a su vez incluye los cinco ¨²ltimos d¨ªgitos del DNI, la letra del NIF, la fecha de nacimiento y el c¨®digo postal) que har¨ªa virtualmente imposible cerrarlas todas. Esas webs con contenidos id¨¦nticos iban multiplic¨¢ndose, mientras paralelamente aparec¨ªan nombres de dominios en Europa, Estados Unidos y seg¨²n revel¨® este diario, pa¨ªses sin acuerdos de legislaci¨®n digital con Espa?a, como Rusia.?

El foro Hacker News ha localizado la vulnerabilidad del procedimiento: el sistema de cifrado de datos empleado por las autoridades catalanas ser¨ªa f¨¢cilmente descifrable sin necesidad de contar con potentes equipos. El profesional inform¨¢tico Sergio L¨®pez ha probado ¨¦l mismo esta posible vulnerabilidad empleando datos falsos, y ha comprobado que es real: un usuario avanzado puede obtener de una manera sencilla los datos personales del censo.

¡°Para sortear el bloqueo de las webs se emplea un sistema que distribuye la web completa y pone la base de datos al descubierto aunque est¨¦ cifrada¡±, explica L¨®pez a EL PA?S. Mediante un ataque de ¡°fuerza bruta¡± y en unas pocas horas, se puede obtener dicha informaci¨®n. L¨®pez se refiere tambi¨¦n a la debilidad del cifrado: ¡°Una parte enorme de la clave es predecible: cualquier puede deducir que en un c¨®digo postal concreto en un a?o determinado va a haber una secuencia concreta¡±. Este profesional de la inform¨¢tica ha publicado el hilo en Twitter, alarmado al comprobar que ¡°cualquiera¡± puede obtener estos datos y con otros fines.

Seg¨²n el experto, los datos "han sido comprometidos" y "est¨¢n a la disposici¨®n de cualquiera en Internet". "Si yo, que NO me dedico a la seguridad TI y s¨®lo tengo conocimientos b¨¢sicos de criptograf¨ªa, me he dado cuenta, los?malos lo saben seguro", asegura en su hilo de Twitter.

La Agencia Espa?ola de Protecci¨®n de Datos asegura que una posible sanci¨®n a la Generalitat ser¨ªa competencia de la Autoridad Catalana de Protecci¨®n de Datos. Esta ¨²ltima "ha iniciado un tr¨¢mite de informaci¨®n previa para comprobar el contenido de esta informaci¨®n y su alcance", seg¨²n ha indicado una portavoz a EL PA?S, informa Isabel Rubio.