Los problemas entre la Generalitat y la Agencia Española de Protección de Datos en torno al censo y a la seguridad y privacidad de los datos tiene vistos de recrudecerse, después de que la entidad española investigase los movimientos del Gobierno catalán en torno a la gestión de los datos del censo, y por tanto, de los datos personales de los ciudadanos de Cataluña previa al conato de referéndum independentista del 1 de octubre.
Ahora es una serie de expertos en seguridad los que revelan una exposición masiva de los datos de los catalanes debido a una mala praxis de la Generalitat a la hora de manejar los datos y los sistemas de votación, que desde el principio no contaba con la autorización del Estado y, por tanto, de la Agencia Española de Protección de Datos.
Debido a la que votación fue declarada ilegal por el Estado, y por tanto el Gobierno de España impuso todas las medidas posibles para evitar su celebración, incluyendo el bloqueo de las webs a nivel ISP que contenían información y datos específicos de la forma y el lugar de votar, a la Generalitat no le quedó más remedio que replicar todos estos sitios web que daban información sobre el referéndum, incluyendo los datos relativos a la información de dónde votar en función de los datos censales de los catalanes. Si todo estaba controlado por el Estado, ¿cómo se suponía que el Gobierno catalán iba a notificar a las personas la información de sus mesas de votación? Por Internet, replicando sitios webs cerrados y dando alas a terceros para hacerlo.
Y ha sido la receta para el desastre. Como Cataluña no podía alojarlo en ningún servidor, ya que podía ser fácilmente intervenido por las autoridades españolas, cada sitio web se replicaba de forma completa con IPFS y se convertía en un servidor por sí mismo, incluyendo una copia de la base de datos. Estos sitios pedían y contenían una serie de datos personales para devolver la información relacionada con el voto, como el DNI (solo los últimos 5 dígitos), la fecha de nacimiento y el código postal. El problema ha sido que esta información se combinaba entre sí para formar una clave que se utilizaba para buscar los datos de la mesa en la que se debe votar y devolver el resultado, por lo que el acceso a esas claves permitía (y permite) el acceso a todos los datos censales.
Y la clave, en este caso, es demasiado sencilla para alguien con tiempo y habilidades:
Lamentablemente, como voy a demostrar, el cifrado es mucho más débil. Esto se debe fundamentalmente a dos cuestiones:
— Sergio López (@slpnix) October 4, 2017
PERO, para obtener TODOS los datos para un código postal y año concretos, tan sólo necesito un máximo de 2 días y medio.
— Sergio López (@slpnix) October 4, 2017
La cuestión es que si estas claves fueran publicadas en texto plano, o alguien con tiempo y dedicación realizase un ataque por fuerza bruta, estarían exponiendo los datos personales de todos los ciudadanos catalanes, lo que a su vez implica que el Gobierno catalán ha divulgado, potencialmente, una base de datos que contiene parte de los documentos de identidad de sus ciudadanos, fechas de nacimiento, códigos postales y mesas de votación.
Los detalles técnicos del problema están expuestos en LA3, donde explican las cuestiones de seguridad con el cifrado, y lo sencillo que es utilizar la letra del DNI como dígito de control para realizar ataques con fuerza bruta (aunque en ningún caso exponen cómo hacerlo).