El cifrado con el que se ha protegido la información de los votantes se puede forzar con relativa facilidad. El número escogido para proteger parte de la información hace referencia a la caída de Barcelona durante la Guerra de Sucesión Española. Así lo aseguran El Mundo y Hacker News.
Los datos de los más de cinco millones de ciudadanos censados para votar en Cataluña no están lo suficientemente protegidos debido al protocolo de seguridad empleado por la Generalitat para cifrar la base de datos del censo.
Según han descubierto numerosos expertos en ciberseguridad, y tal y como indicaron en un primer momento en la publicación especializada Hacker News, la Generalitat empleó un protocolo de seguridad, llamado IPFS, para proteger la información, pero empleó unos códigos para descifrarla que se pueden descrifrar con un ordenador común en poco tiempo.
La información de cada votante se ha protegido con un código ‘hash’ (un algoritmo que transforma una serie de datos en otra aleatoria) que está basado en los últimos cinco dígitos del DNI, la letra del NIF, la fecha de nacimiento y el código postal y que ha sido generado con 1714 interacciones de un algoritmo matemático. El número escogido no es casual y hace referencia al año en el que Barcelona fue conquistada en la guerra de Sucesión Española.
Y aquí radica el problema. Aunque el protocolo en sí es seguro, muchas de las cifras protegidas son fijas y tienen posibilidades muy limitadas (23 letras del NIF, 365 días del año para las fechas y demás), de modo que un ordenador normal y corriente puede forzar la seguridad de los hash y entrar en la base de datos.
Tras una consulta llevada a cabo por el diario EL MUNDO, la Autoridad Catalana de Protección de Datos (ACPD) ha iniciado los procedimientos administrativos pertinentes para investigar esta cuestión.
El experto en informática Sergio López ha probado que forzar la protección es sencillo y que podría poner en peligro la información de los ciudadanos. Aunque atacar a todos los censados sería muy costoso y difícil, López expone a EL MUNDO que un ataque más localizado sí sería viable.
La Generalitat empleó este procedimiento de protección para evitar la censura de dominios ‘.cat’ impuesta por el Gobierno central, de modo que cualquier usuario pudiera servir para almacenar la base de datos cifrada del censo y así se pudiera seguir accediendo a ella para votar.
Al demostrar que este método no es tan seguro como se había planteado, la Generalitat ha expuesto la información de sus ciudadanos a posibles fraudes y a que personas con conocimientos adecuados puedan acceder a ellas sin permiso.
