El Govern de Cataluña, mediante las webs que puso a disposición de los ciudadanos para conocer los colegios electorales a los que acudir el 1-O, ha dejado al alcance de cualquiera con conocimientos de cifrado todos los datos relativos al censo de los más cinco millones de catalanes llamados a votar, según adelanta El País. Datos como el código postal, DNI y fecha de nacimiento de los ciudadanos mayores de 18 años.

Fue el portal Hackers News quien descubrió la vulnerabilidad del sistema utilizado por la Generalitat, cuyo fallo principal reside en el sistema de cifrado. "Para evitar el bloqueo, la Generalitat había preparado una web replicada mediante IPFS. Para que la web funcione en IPFS, se debe poder replicar entera, incluida la base de datos. Por lo tanto, en lugar de usar MariaDB o Postgres, la información está distribuida en ficheros planos", explica a través de Twitter Sergio López, con conocimientos de criptografía. "Si yo me doy cuenta de esto, los malos también", asegura.

En otras palabras: para evitar el cierre de las webs en dominios .cat, la Generalitat acudió al sistema IPFS alojado en dominio internacional. La principal función del IPFS es que cualquier usuario que acceda a una web, y lo solicite, puede replicar automáticamente todo el contenido de la página. Esto, en el caso de las webs de consulta de los puntos de votación en el 1-O, implica que al replicar la página web se replica también la base de datos que va asociada a ella.

Esto, que ya supondría un asunto a estudiar profundamente en el marco de la Ley Orgánica de Protección de Datos, plantea otro problema añadido. La Generalitat tuvo que idear un método capaz de reducir esa base de datos hasta un tamaño que hiciera posible su acceso y replicación sencilla a través de sitios web. Y todo por la imposibilidad de usar servidores estáticos, que podrían haber sido fácilmente bloqueados por el Gobierno con una orden judicial.

La solución del gobierno catalán, que ha expuesto los datos de millones de catalanes a cualquiera con la voluntad de descifrarlos, fue la siguiente: crear una plantilla de texto plano con las claves de todos ellos. Una clave que se compone de los siguientes elementos: los últimos cinco números y la letra del DNI, la fecha de nacimiento en formato YYYYMMDD (Año/Mes/Día) y los cinco dígitos del código postal.

Claves encriptadas...1714 veces

Estas claves se cifran posteriormente con el sistema sha256 un total de 1714 veces, número simbólico para el nacionalismo catalán. Y una última para acceder al dato final de la mesa electoral a la que debe acudirse. El problema es que, generando la clave a partir de datos previsibles como el DNI, la fecha de nacimiento o el código postal, no resulta especialmente difícil la desencriptación de una clave que sería, como mucho, de 48 bits, usando la fuerza bruta de la que es capaz un ordenador.

La brecha de seguridad del Govern permite a un usuario avanzado acceder al DNI, código postal y fecha de nacimiento del votante en cuestión de minutos

Según el usuario Sergio López, que ha hecho pública esta vulnerabilidad, el problema es mayor: cada entrada de esta base de datos carece de una protección específica, por lo que el tiempo que un atacante tardaría en desencriptar la información se reduciría notoriamente. Según las pruebas efectuadas por este informático, que no es experto en criptografía según él mismo asegura, en dos días y medio se descifrarían todos los datos para un código postal o año concreto con un ordenador normal. En 90 minutos con un equipo más avanzado, y en apenas segundos con herramientas especializadas.

Teniendo eso, es sencillo acceder al DNI ya que, aunque la clave sólo utiliza los últimos cinco dígitos, emplea también la letra, que actúa como caracter de control y reduce las posibilidades a entre 10 y 40, descartables fácilmente por un método de ensayo y error.

Algunos usuarios se han apresurado a exponer, como hacía la publicación original, que la información a la que se accede finalmente no es tan relevante: DNI, código postal y fecha de nacimiento. Sin embargo, estos datos cruzados con otras bases de datos extendidas por la red en las que sí se incluyen nombres, direcciones o incluso números de teléfono y cuentas de toda clase, podría suponer una vulneración importante y una afectación relevante a la seguridad de millones de ciudadanos, expuestos a la utilización fraudulenta de sus datos o incluso a suplantaciones de identidad.

Por ello, Sergio López señala en sus mensajes que es "fundamental" que todos los que tengan una copia de la web "paren inmediatamente su distribución". "No queda más remedio que asumir que dichos datos (DNI/NIF, fecha de nacimiento y código postal), han sido comprometidos para todos los ciudadanos presentes en el censo publicado por la Generalitat a través de IPFS, y están a disponibilidad de cualquiera en Internet".