Un fallo de seguridad compromete los datos de millones de españoles
Un fallo de seguridad en un servicio online del Servicio Público de Empleo Estatal permitía acceder a datos privados de varios millones de ciudadanos españoles. Para explotarlo sólo era necesario conocer el número de DNI de la víctima.
El error no fue corregido a pesar de ser puesto de manifiesto en sede judicial; tuvo que intervenir la Agencia Española de Protección de Datos para que, tras más de un año, subsanaran el fallo de seguridad.
Siempre he criticado que las grandes Administraciones Públicas, las que manejan millones de datos personales de nosotros, no se toman en serio esto de la protección de datos de carácter personal; y esto así, al menos mi opinión, porque no son conscientes de lo valioso de la información que tratan y además parece no importarles lo que ocurra con ella.
Y prueba de ello es lo que hoy voy a contar, en primera persona.
Allá por octubre de 2007, como uno más de los varios millones de españoles, solicité una prestación contributiva por desempleo en Murcia.
Tras ser concedida se me entregó un «justificante de demanda de empleo» (DARDE), en el cual figuraba la fecha en la que me había dado de alta en el Servicio Público de Empleo Estatal (SPEE).
Y aquí comenzaron las irregularidades.
Se me informó que debía renovar la tarjeta (DARDE) en las fechas indicadas en ese documento y que podía hacerlo por Internet; para ello, debía acudir a la sección de «Tu oficina SEF en casa» de la dirección web http://www.sefcarm.es.
Una vez allí, sólo tendría que introducir mi número de DNI y como contraseña la fecha en la que me había dado de alta en el SPEE, o sea, la fecha que figuraba en el DARDE.
A cualquier aficionado en seguridad ya le debe llamar la atención que para acceder a un servicio público con cierta trascendencia para el ciudadano, la contraseña sea una fecha y encima impresa en un papel que tienes que llevar de un lado para otro y conservarlo durante muchos meses.
Pues sí, este mecanismo de «autenticación» perdura actualmente, siendo imposible modificar la «contraseña» (fecha de alta). Excuso decir, que aun desconociendo la fecha, ¿cuántas posibles combinaciones puede haber para un ciudadano medio? ¿2000? ¿3000? Pero esto es otra historia…
No había salido aun de mi asombro, cuando accedo al sistema: pongo mi DNI y la fecha correspondiente.
Al entrar se tienen una serie de servicios disponibles, me centraré aquí en el que me interesaba: renovación de la demanda de empleo (o consulta de de la demanda, es lo mismo).
Hacemos click, aparecen todos mis datos personales, incluidos los de formación, cursos, empresas en las que he podido trabajar, carnet de conducir, etc.
Solo me falta darle a «Renovar» y ya está, demanda de empleo renovada.
¿Problema?
Pues no explico el problema, indico lo que enviaba el navegador web justo después de hacer click sobre «Renovación de la demanda»:
GET http://www.sistemanacionalempleo.es/ConsultaDemandaWEB/consultaDemanda.do?idDemanda=D++YYYYYYYY&modo=consultaDatos
Donde he puesto YYYYYYY figuraba mi número de DNI.
No hace falta tener una imaginación ciclópea para probar a poner en el navegador, directamente, esa misma dirección, pero en vez de YYYYYY (mi DNI) poner otro cualquiera, por ejemplo ZZZZZZZ, resultado: aparecen todos los datos personales del titular del DNI ZZZZZZZZ, incluyendo información sensible muy golosa para empresas de seguros, marketing y acreedores.
Inmediatamente hice un programita que dejé funcionando durante varios días probando todas las combinaciones posibles de números de DNIs para hacerme con una base de datos de ciudadanos españoles importante, porque NO sólo figuran los datos de las personas que ahora mismo estén en el paro, sino los de cualquiera que alguna vez lo hayan estado o se hayan inscrito a lo que era el INEM.
Este fallo de seguridad lo reporté a través del formulario de contacto que figuraba en la web del SPEE, sin obtener respuesta alguna a día de hoy.
Por otro lado y con ocasión de un pleito que inicié contra el SPEE, puse de manifiesto en la demanda y en la reclamación previa este fallo de seguridad; además, para que vieran lo sencillo que era, adjunte un CD con una grabación, paso a paso y explicando lo que hacía, para que tanto el juez como el SPEE vieran claro el problema. El resultado en el juicio: el abogado del Estado le dijo a su señoría que los fallos de seguridad existen y que tenemos que convivir con ellos, y que si un hacker quería podía entrar en la NASA y en el FBI, que la inseguridad informática no se puede evitar. El juez por su parte indicó en la Sentencia que «los principios de seguridad e intimidad, en ningún caso, deben prevalecer sobre los de transparencia, veracidad, legalidad y solidaridad«.
Misteriosamente, a pesar de haberse celebrado el juicio, el fallo de seguridad seguía sin resolverse (ya habían transcurrido más de 7 meses).
Esto ya me lo imaginaba, así que casi simultáneamente a la demanda jurisdiccional interpuse denuncia ante la Agencia Española de Protección de Datos por el problema de seguridad, aportando también el mismo CD.
De esta vía destaco algunas de las alegaciones que hizo el SPEE:
«El denunciante logró el acceso a los datos de los demandantes de empleo modificando el código fuente»
«El fallo se pudo llevar a cabo gracias a una reingeniería del sistema, utilizando ciertas capacidades de los navegadores web para observar el código fuente intercambiado entre dicho navegador y el servidor web del Sistema Nacional de Empleo y además modificación del código fuente para suplantar el DNI del usuario por un segundo DNI».
La Agencia Española de Protección de Datos le pregunta al SPEE, que si a su juicio, «para ver el código fuente de una página web se requieren de extensos conocimientos de programación informática, o si se debió utilizar alguna herramienta especial» (jejeje, la AEPD ironiza).
El SPEE responde que:
«El denunciante usó lo que en el lenguaje informático se denomina un ataque de fuerza bruta, necesario para conocer los números de DNI. Además, el denunciante puede ser un experto en la materia como revela que dispone de una página web: www.samuelparra.com«
Sin embargo, la parte que más me gusta de la Resolución de la AEPD es la siguiente, en el Fundamento de Derecho Tercero:
«En lo que respecta a las alegaciones del SPEE que el acceso se produce por el denunciante, que dispone de una página web sobre protección de datos, es experto y tiene conocimientos amplios en la materia, se debe señalar que lo que esta persona desarrolló es una puesta a prueba del sistema y de sus datos, lo cual debía haber hecho el SPEE previamente a facilitar servicios de consulta… Lo que sí se acredita es que tanto en el CD como a través de los servicios de inspección, incluso con posterioridad a que el SPEE tuviera noticia a través de la reclamación previa y demanda ante el Juzgado, el sistema era accesible, hasta agosto de 2009″.
Finalmente la AEPD termina en declarar que se ha vulnerado gravemente el artículo 9 de la Ley Orgánica de Protección de Datos, es decir, el principio de seguridad. Además se declaran otras infracciones más que si el lector está interesado podrá consultar directamente en la Resolución.
Yo destacaría de este caso lo siguiente:
1: lo que tarda la Administración en reaccionar y reparar: más de un año
2: el poco interés en proteger los datos personales de los ciudadanos porque este fallo de seguridad es de una simplicidad extrema y no lo repararon hasta que se las vieron venir.
El diario El Mundo, en su edición del domingo 7 de marzo ha publicado esta noticia.
La Resolución 02714/2009 por la que se declara la infracción al SPEE aun no está disponible en la página web de la AEPD, pero se puede descargar desde aquí. (ojo, casi 10 megas).
A día de hoy, el problema ya ha sido reparado y se ha modificado la forma de acceso al sistema. Y NO, no dejé ningún programa varios días para obtener toda la información del SPEE, es una advertencia/broma al lector para sensibilizarlo con el problema: no lo hice pero cualquiera podría haberlo hecho.
Comments
Ciberseguro
Con respecto al primer comentario:
Sinceramente este país está lleno de retrógrados, analfabetos digitales por no decir también anaógicos y demás «cosas» que podrían ser nombradas.
Decir que este señor atentó contra la seguridad de la administración por hacer un sencillo programita que automatizaba el proceso de obtención de los datos personales de varios ciudadanos.
Decirle a este tipo de «personas ignorantes» que no tienen ni repajorela idea de en qué consiste precisamente la seguridad informática. Que es la disciplina que se trata en este asunto. Y mucho menos de lo que es hacking ético.
Además el que se dedica a la Seguridad Informática tiene por haber interiorizado en su proceso formativo un código deontológico de conducta. Claro que qué significa eso para determinadas personas…
Por gente como esta España sigue sumida en los viejos prejuicios que fueron inculcados en la dictadura; y ente otras cosas y debido también a la «filosofía del mandado» se fomenta que se permitan por parte de las administraciones públicas ilegalidades y «locuras administrativas» sin base a ley ni coherencia. Y que poco tienen que ver con esa supuesta buena voluntad, transparencia y servidumbre al ciudadano de parte de estas como particularmente de su muchas veces «indeseable personal».
Te felicito por tu web y sigue así, que el país necesita a verdadera gente especializada en cualquier rama de la vida.