Ayer recogíamos una noticia sobre una cuenta de Twitter de un grupo llamado Digital Research Team que afirmaba haber hackeado a universidades e instituciones públicas de España. Nada más lejos de la realidad, al parecer toda la información estaba ya disponible en Internet, abriendo un debate todavía más serio.
No hace falta tener conocimientos técnicos para obtener los datos publicados
Tal y como publica el blog quantiKa14, todos los tweets han sido borrados o por Twitter o por la propia cuenta tras el hecho de que nosotros y otros medios nos hiciéramos eco de ello. Inicialmente, la impresión era que ese grupo había descubierto una vulnerabilidad que le había permitido acceder a bases de datos o documentos internos de estas instituciones, donde había nombres, DNI, números de teléfonos, direcciones de email, e incluso en algunos casos hasta contraseñas en texto plano.
Por desgracia, o por suerte, esta vulnerabilidad no ha llegado a darse, y lo que ha ocurrido en realidad es que toda esta información es pública y está indexada en Google, por lo que puede ser accedida por cualquiera. Para ello, tan sólo hay que escribir site:dominio.com filetype:pdf intext:”dni” para que aparezcan archivos PDF alojados en esos dominios que contengan DNI.
Las instituciones todavía tienen publicados listados antiguos con información personal
Haciendo esto con diversas instituciones, como las administraciones de diversas comunidades autónomas, se pueden encontrar listados públicos de todo tipo, incluyendo a personas que han solicitado ayudas para el empleo, personas con discapacidad, o incluso de policías. En el caso de la Junta de Andalucía, por ejemplo, se recogen listados de excluidos para acceder al Cuerpo de Inspectores de Educación, de sustitutos en centros educativos, adjudicaciones, etc.
Cuando se publica un listado de manera anónima con solo el DNI, no hay demasiado peligro si no se puede asociar ese número a una persona. Sin embargo, ese mismo número luego puede buscarse por Internet, además de que en muchos de estos listados el nombre va asociado al DNI y otra información adicional.
Así, no es necesario tener conocimientos técnicos para encontrar estos datos, siendo sólo necesario conocer cómo funciona Google. También es posible automatizar la búsqueda de estos elementos entre diversas páginas web para no tener ni que hacerlo a mano.
Por tanto, vemos que no existe ninguna gran vulnerabilidad, pero esto demuestra que es necesario proteger mejor los datos de los ciudadanos a la hora de aparecer en listados públicos, y que éstos muestren el menor número de datos posible. Con sólo mostrar el DNI es más que suficiente para que una persona sepa si está o no admitida, y de hecho en la actualidad está prohibido mostrar nombre, apellidos y DNI todo junto. Por ello, las publicaciones que hay disponibles actualmente son antiguas.