Los datos de todos los catalanes con derecho a votos están al descubierto, por culpa de la Generalitat.
La Generalitat, entre tanto vaivén de paginas webs cerradas por orden del Tribunal Constitucional, se ha dejado atrás algo muy importante: la seguridad de todos aquellos catalanes ciudadanos residentes en Cataluña con derecho a voto, algo gravísimo.
Los datos personales de 5 millones de personas están totalmente expuestos, según han alertado varios expertos. En concreto, hablamos de los últimos 5 dígitos del DNI, la letra, la fecha de nacimiento, el código postal y el colegio donde debería haber votado en el referéndum ilegal del día 1 de octubre.
Los datos personales, muy mal protegidos
Debido a que las autoridades nacionales ordenaron tumbar todas aquellas webs que promocionasen actos secesionistas o que tuvieran que ver con el referendum, el gobierno catalán distribuyó un duplicado de la web original para que cualquier persona o entidad pudiera resubirla haciéndose cargo de la administración y de los servidores. Se usó el protocolo IPFS para distribuir la web, que es básicamente uno de los protocolos P2P que existen (peer to peer).
El cifrado usado para proteger los datos de los votantes es muy débil y podría descifrarse rápidamente, tal y como apuntan los expertos en ciberseguridad en el foro Hacker News, donde se publicó inicialmente el fallo de seguridad.
Los datos, que están al descubierto (es decir, públicos) porque en teoría estaban protegidos por el cifrado, pueden ser extraídos mediante un ataque de ‘fuerza bruta’ y, en unas pocas horas (hasta dos días, en el peor de los casos), la información ya estaría descifrada y en texto plano.
Sergio López, un profesional de la Informática que no se dedica a ciberseguridad, pero que sí tiene conocimientos en criptografía, ha sido capaz de hacerse con los datos en texto plano de todos los catalanes con capacidad de voto. Es decir, que ni siquiera es necesario ser un experto para conseguir hacerse con los datos.
La vulnerabilidad reside en que se genera un hash mediante 1714 (una fecha histórica muy importante para los independentistas, que está considerada como el inicio del movimiento ‘indepe’) iteraciones de SHA256 (un tipo de cifrado) sobre los datos privados de los votantes (5 últimas letras del DNI, código postal, fecha de nacimiento y la letra del DNI).
Pero aún es más sencillo: la parte predecible (la fecha de nacimiento y el código postal) se repite y semánticamente es la misma, por lo que se pueden realizar ataques en grupos, reduciéndose el tiempo del ataque a 10 000 veces menos tiempo.