El referendum catalán lleva, desde el pasado domingo, en boca de todos. Sin embargo, hoy la noticia ha sobrepasado el ámbito político para entrar de lleno en la actualidad del mundo de la ciberseguridad. Y es que, si son muchas las empresas afectadas por robos de datos perpretados por los ciberdelincuentes, a la Generalitat catalana no parece haberle hecho falta la intrusión de ningún informático para dejar al descubirto los datos de todos los catalanes con derecho a voto. Sí, como lo oís, el Gobierno de Cataluña ha dejado al alcance de cualquiera con conocimientos de cifrado todo el censo de la comunidad autónoma debido a un fallo en el sistema de cifrado utilizado por la institución.

Nombre, apellidos, código postal, DNI y fecha de nacimiento son los datos que podrían estar ya circulando por la red dado que el sistema de cifrado de los datos recopilados en secreto y empleados por las autoridades catalanas para elaborar el censo que permitió el referéndum del pasado domingo 1 de octubre es, “según los expertos” fácilmente descifrable.

Este fallo, hecho público por The Hacker News recibe el nombre de IPFS y “es un sistema P2P entre usuarios que crea una red social en la que se almacenan archivos sin que haya intermediarios”, explica Antonio Gonzalo, fundador de Ethereum Madrid. El experto afirma que “el contenido que se sube a la red es público y cualquiera puede ver el contenido que hay dentro” de forma que si estos datos no se cifran, pueden ser accesibles para cualquiera con conocimientos básicos de encriptación. “Si yo, que NO me dedico a la seguridad TI y sólo tengo conocimientos básicos de criptografía, me he dado cuenta, los malos lo saben seguro“, asegura Antonio Gonzalo en Twitter.


¿Para qué que necesitaban los catalanes una red social para el referendum?

Durante los días que precedieron a la consulta catalana, el gobierno español intentó por todos los medios cerrar las webs que informaban a los ciudadanos catalanes sobre dónde votar. Si no se sabe el colegio al que dirigirse, es imposible llevar a cabo una votación pero autoridades españolas fueron bloqueando el acceso a las sucesivas webs que contenían esos datos, con lo que la Generalitat optó por utilizar un sistema de réplica de los contenidos.

Así, el propio Carles Puigdemont, presidente de la Generalitat, se vió obligado a buscar una alternativa que hiciese posible la celebración de la consulta. Y, entre las posibles soluciones, optó por lanzar una app mediante la cual los ciudadanos obtendrían dicha información.

La Generalitat replicó los contenidos establecidos en esas webs (incluyendo la base de datos) de forma que las webs iban multiplicándose y aparecían nombres de dominios en Europa, Estados Unidos y según revela The Hacker News, países sin acuerdos de legislación digital con España, como Rusia.

De esta forma, los ciudadanos catalanes podían consultar el colegio electoral en el que les tocaba votar. El problema está en que “estos datos siguen un patrón sencillo y responden a un número limitado de combinaciones—365 días al año, 23 letras posibles en un NIF… que mediante un ataque de fuerza bruta y en unas pocas horas, puede permitir acceder a todos los datos del censo” señala Antonio Gonzalo quien añade que “una parte enorme de la clave es predecible” ya que “cualquiera puede deducir que en un código postal concreto en un año determinado va a haber una secuencia concreta” y así completar los datos y obtener el censo completo de los habitantes de Cataluña.

En resumen, los datos de cualquier ciudadano que aparezca en ese censo podrían estar en peligro y ser utilizados por los cibercriminales para llevar a cabo algún tipo de fraude. No olvidemos que el robo de datos se ha convertido en los últimos años en uno de los ataques predilectos de los ciberdelincuentes.

About Author

Desiree Rodriguez

Responsable Globb Security España y Francia

Deja un comentario