Cataluña dejó al descubierto los datos personales de todos los votantes del referéndum

Virus

El referéndum de independencia de Cataluña tuvo que improvisar sobre la marcha diversas medidas debido a que no podían garantizar que todo el mundo pudiera votar. Para ello, crearon un censo online para saber en qué colegio podían votar, y que posteriormente pasó a ser universal. El problema es que este censo no estaba protegido debidamente, y dejó al descubierto los datos de todos los votantes.

Datos de más 5 millones de catalanes fácilmente hackeables por un mal cifrado

Así lo ha revelado Sergio López en su cuenta personal de Twitter. A grandes rasgos, el problema viene a raíz de que la Generalitat de Cataluña no cifró correctamente los datos de todos los ciudadanos mayores de 18 años que estaban llamados a votar. Aunque se usaba SHA265, los hashes no contaban con “salt”, por lo que podían descifrar para obtener los datos en texto plano. Además, la fecha de nacimiento y el código postal eran datos predecibles que se repetían en todos los hashes.

Una vez conocido el funcionamiento del método de hash utilizado, es fácilmente obtener todos los hashes en cuestión de horas con un ordenador de gama alta actual. Los datos que se pueden obtener recogen el nombre, apellidos, dirección, fecha de nacimiento, y los 5 últimos dígitos del DNI (incluyendo la letra). Esto permite incluso que se pueda adivinar el DNI completo, ya que al final se reduce a 10-15 posibilidades con los números más comunes.

El sistema de réplica de datos usado por la Generalitat de Cataluña para sus webs tenía fallos

El problema de cifrado vino cuando la Generalitat decidió utilizar IPFS para replicar el contenido, con el objetivo de luchar contra el cierre de las páginas web. Así, lo importante ahora mismo es que se deje de distribuir el contenido de la web de la votación online. Si estos datos se cruzan con otras bases de datos, se pueden utilizar para cometer fraudes y estafas.

cataluña-datos

Su descubridor afirma que esto es realmente peligroso, porque él mismo que no se dedica a la seguridad ha descubierto este fallo, y ha creado una prueba de concepto para mostrar cómo se pueden obtener fácilmente los datos con tan sólo 83 líneas de código en su página de GitHub. Esta prueba no incluye rutinas CUDA y OpenCL para que no se realice fácilmente la paralelización con tarjetas gráficas y cualquiera pueda obtener los datos, pero “los malos” o cualquier experto de seguridad puede hacerlo sin problemas.

Escrito por Alberto García

Fuente > ADSLZone

Vía > El País

Continúa leyendo
  • Trocotronic

    Aha, vamos, que se puede obtener los mismos datos que las hojas cuelgan en los colegios electorales para saber si es el tuyo, no? Menuda filtración… buf!

    • Anti-Haters

      Para saber qué colegio electoral te toca tienes que ver cuál corresponde a tu domicilio, no ir por toda la ciudad ese día buscandote en listas que no existen. Y una vez allí tampoco te lees en una hoja, ni lees nombres y DNI de las demás personas, encuentras unas señales para saber a qué urna tienes que ir, donde sí hay un encargado con una hoja llena de datos que solo él y los de la mesa pueden ver para asegurarse de que votas una vez y bien.

      Hablo de las elecciones legales, por supuesto, no tengo NPI de si en este circo de Catalunya decidieron empapelar todas las paredes con datos a vista de todos. Lo normal es que se haga de la otra manera. Y aunque lo hiciesen así, siempre es más cómodo acceder a esos datos con cuatro clicks que ir por todos los colegios recopilándolos.

    • David

      Hombre , por favor… Que eso caiga en manos autorizadas, es decir, en una mesa electoral y controlado, no es lo mismo que CUALQUIERA tenga acceso a todos tus datos.
      Pero bueno, a ti a lo mejor te da igual que CUALQUIERA tenga acceso a tus datos SIN TU CONSENTIMIENTO previo.
      Después serás también de los que se queja que Google lo sabe todo de ti…
      De verdad… algunos sois surrealismo puro.

  • Xares

    a ver si los meten a todos en la carcel ya

    • Asier Eizagirre Ibarzabal

      A ti el primero.

      • Xares

        Yo no he incumplido la ley

    • Raul José Marichal González

      Si no han destituido del cargo a Puigdemont y Cía, ni los han metido preso no veo por qué van a meter al resto.

  • Hater

    Me hace gracia porque muchos pensáis que metiendo-los en la cárcel el problema se va a solventar por si solo, cuando no tenéis ni puta idea de la que se nos viene encima hagamos lo que hagamos, ahí lo dejo, el tiempo me dará la razón aunque muchos no lo quieran aceptar ahora. Saludos

    • Xares

      El problema se soluciona haciendo lo mismo que hacen en Rusia, Portugal, Francia, Alemania etc… PROHIBIENDO LOS PARTIDOS POLITICOS SEPARATISTAS

  • Pingback: Un referéndum a la altura de los catalanes - Informática indignada()