Cataluña dejó al descubierto los datos personales de todos los votantes del referéndum

El referéndum de independencia de Cataluña tuvo que improvisar sobre la marcha diversas medidas debido a que no podían garantizar que todo el mundo pudiera votar. Para ello, crearon un censo online para saber en qué colegio podían votar, y que posteriormente pasó a ser universal. El problema es que este censo no estaba protegido debidamente, y dejó al descubierto los datos de todos los votantes.

Datos de más 5 millones de catalanes fácilmente hackeables por un mal cifrado

Así lo ha revelado Sergio López en su cuenta personal de Twitter. A grandes rasgos, el problema viene a raíz de que la Generalitat de Cataluña no cifró correctamente los datos de todos los ciudadanos mayores de 18 años que estaban llamados a votar. Aunque se usaba SHA265, los hashes no contaban con “salt”, por lo que podían descifrar para obtener los datos en texto plano. Además, la fecha de nacimiento y el código postal eran datos predecibles que se repetían en todos los hashes.

Una vez conocido el funcionamiento del método de hash utilizado, es fácilmente obtener todos los hashes en cuestión de horas con un ordenador de gama alta actual. Los datos que se pueden obtener recogen el nombre, apellidos, dirección, fecha de nacimiento, y los 5 últimos dígitos del DNI (incluyendo la letra). Esto permite incluso que se pueda adivinar el DNI completo, ya que al final se reduce a 10-15 posibilidades con los números más comunes.

El sistema de réplica de datos usado por la Generalitat de Cataluña para sus webs tenía fallos

El problema de cifrado vino cuando la Generalitat decidió utilizar IPFS para replicar el contenido, con el objetivo de luchar contra el cierre de las páginas web. Así, lo importante ahora mismo es que se deje de distribuir el contenido de la web de la votación online. Si estos datos se cruzan con otras bases de datos, se pueden utilizar para cometer fraudes y estafas.

cataluña-datos

Su descubridor afirma que esto es realmente peligroso, porque él mismo que no se dedica a la seguridad ha descubierto este fallo, y ha creado una prueba de concepto para mostrar cómo se pueden obtener fácilmente los datos con tan sólo 83 líneas de código en su página de GitHub. Esta prueba no incluye rutinas CUDA y OpenCL para que no se realice fácilmente la paralelización con tarjetas gráficas y cualquiera pueda obtener los datos, pero “los malos” o cualquier experto de seguridad puede hacerlo sin problemas.