https://elpais.com/tecnologia/2017/10/05/actualidad/1507196018_140173.html?id_externo_rsoc=TW_CM
La Generalitat deja al descubierto los datos personales de todos los catalanes
En su salida hacia adelante para organizar el referéndum suspendido por el Tribunal Constitucional, el Gobierno de Cataluña ha dejado al alcance de cualquiera con conocimientos de cifrado de datos todo el censo de esa comunidad autónoma. Nombre, apellidos, dirección, DNI y fecha de nacimiento de más de cinco millones de ciudadanos mayores de 18 años que, por sí mismos o cruzados con otras bases de datos, pueden ser instrumentos para cometer fraudes.
Según han alertado varios expertos, el sistema de cifrado de los datos recopilados en secreto y empleados por las autoridades catalanas para elaborar el censo que iba a permitir el referéndum del 1 de octubre es fácilmente descifrable. La revista especializada Hacker News ha sido la primera en informar de este grave fallo de seguridad.
Seguir
Sergio Lopez @slp1605
Han pasado ya unos cuantos días desde el #1Oct, así que creo que urge el contar esta historia.
16:31 - 4 oct. 2017
Información y privacidad de Twitter Ads
El gobierno español, siguiendo las directrices de la justicia, intentó por todos los medios cerrar las webs que informaban a los ciudadanos catalanes sobre dónde votar. Esta información era crucial, puesto que los ciudadanos debían saber de antemano a qué colegio dirigirse para depositar su voto, y por este motivo, el propio Carles Puigdemont, presidente de la Generalitat, difundió una appmediante la cual los ciudadanos obtendrían dicha información.
Las autoridades españolas fueron bloqueando el acceso a las sucesivas webs que contenían esos datos, con lo que la Generalitat optó por utilizar un sistema de réplica de los contenidos (incluyendo la base de datos, que a su vez incluye los cinco últimos dígitos del DNI, la letra del NIF, la fecha de nacimiento y el código postal) que haría virtualmente imposible cerrarlas todas. Esas webs con contenidos idénticos iban multiplicándose, mientras paralelamente aparecían nombres de dominios en Europa, Estados Unidos y según reveló este diario, países sin acuerdos de legislación digital con España, como Rusia.
La revista online Hacker News ha localizado la vulnerabilidad del procedimiento: el sistema de cifrado de datos empleado por las autoridades catalanas sería fácilmente descifrable sin necesidad de contar con potentes equipos. El profesional informático Sergio López ha probado él mismo esta posible vulnerabilidad empleando datos falsos, y ha comprobado que es real: un usuario avanzado puede obtener de una manera sencilla los datos personales del censo.
“Para sortear el bloqueo de las webs se emplea un sistema que distribuye la web completa y pone la base de datos al descubierto aunque esté cifrada”, explica López a EL PAÍS. Mediante un ataque de “fuerza bruta” y en unas pocas horas, se puede obtener dicha información. López se refiere también a la debilidad del cifrado: “Una parte enorme de la clave es predecible: cualquier puede deducir que en un código postal concreto en un año determinado va a haber una secuencia concreta”. Este profesional de la informática ha publicado el hilo en Twitter, alarmado al comprobar que “cualquiera” puede obtener estos datos y con otros fines.
Según el experto, los datos "han sido comprometidos" y "están a la disposición de cualquiera en Internet". "Si yo, que NO me dedico a la seguridad TI y sólo tengo conocimientos básicos de criptografía, me he dado cuenta, los malos lo saben seguro", asegura en su hilo de Twitter.
Menuda irresponsabilidad
pues todos a denunciar a la agencia española de protección de datos!!