No se habla de otra cosa. Y no es para menos. El conflicto catalán no ha dejado de ocupar titulares desde antes del 1 de octubre, fecha para la que estaba convocado el referéndum ilegal de Puigdemont. El gobierno de Mariano Rajoy puso todas las trabas posibles para que la votación no se efectuara. Decomiso de papeletas, desalojo de los centros habilitados para las votaciones. Aun así, y sin garantías, parte de la votación se realizó.
A las ocho y cuarto de la mañana del pasado domingo 1 de octubre, los responsables de la Generalitat de Catalunya anunciaron la puesta en marcha del censo universal. Un sistema que permitiría a aquellos que quisieran votar sobre la independencia de Catalunya hacerlo en cualquier parte.
La medida favoreció a todos los que no pudieron votar en el centro que se les habían asignado. Sin ir más lejos, el propio Puigdemont, cuyo centro de votación fue desalojado a primera hora de la mañana por la Policía Nacional y la Guardia Civil, pudo hacerlo en otra parte.
Pero, ¿qué ocurrió con el censo? ¿Qué fue de los datos de todos los catalanes que el presidente de la Generalitat había llamado a las urnas? El foro especializado Hacker News ha sido el primero en alertar que los datos de cinco millones de catalanes habrían sido puestos a merced de los hackers.
El sistema de cifrado no sería seguro
Para acometer la sonada votación, las autoridades catalanas tuvieron que elaborar un censo. En este se incluyó información para identificar a los ciudadanos: los últimos cinco dígitos del DNI, la letra del NIF, la fecha de nacimiento y el código postal. Esta era una fórmula que los propios ciudadanos podían usar para consultar en qué lugar les tocaba votar.
Tras volcar esta información en la red , la Generalitat usó el protocolo IPFS. Con eso pretendían evitar la censura del Gobierno del Estado. En realidad, se trata de un sistema P2P que funciona como una red social, de modo que se pueden almacenar archivos sin contar con intermediarios.
El contenido se sube a la red y cualquiera puede llegar a ver el contenido. El usuario descarga la web y empieza a funcionar como si fuera un servidor. La web tiene que replicarse y con ella la base de datos. La encriptación es, dicen los expertos, más que necesaria.
Los datos almacenados, además, responden a un patrón muy fácil de adivinar por una máquina. El ordenador atacante se encarga de ir probando y puede ser perfectamente capaz de descifrar los datos. A medida que pasaban los días, el Gobierno de España fue bloqueando el acceso a todas las webs que contenían estos datos. Pero los contenidos se replicaban y aparecían nombres de dominios nuevos, tanto en Europa como en Estados Unidos. Y en países sin acuerdo de legislación digital con España.
Han pasado ya unos cuantos días desde el #1Oct, así que creo que urge el contar esta historia.
— Sergio Lopez (@slp1605) October 4, 2017
Obtener los datos personales del censo sería muy fácil
El experto informático Sergio López ha puesto en marcha una serie de pruebas que le han permitido obtener de una manera relativamente sencilla los datos personales del censo. Para conseguirlos bastaría con tener conocimientos avanzados en la materia.
López explica a El País que con un ataque de «fuerza bruta» y unas horas de margen, sería perfectamente posible obtener toda la información sobre el censo. Indica, por otra parte, que el cifrado es muy débil. Este profesional tiene claro que si él ha podido obtener los datos sin conocimientos de seguridad TI y con una base muy primaria de criptografía, los cibercriminales que se dedican a esto pueden conseguirlo en un abrir y cerrar de ojos.
¿Cabe la posibilidad de una sanción?
Ante tamaña metedura de pata, lo primero que podemos pensar es en la posibilidad de una sanción. Pues bien, la Agencia Española de Protección de Datos ya ha sido consultada. Pero indica que la sanción a la Generalitat de Catalunya es, en primer lugar, competencia de la Autoridad Catalana de Protección de Datos, que por cierto, ya ha iniciado un trámite informativo.
