Corren tiempos complicados con el conflicto entre España y Cataluña. Por si fuera poco, a este grave problema se le suma otro: el riesgo en la privacidad de los catalanes.
Sabemos que los datos privados son el objetivo de muchos ciberataques, entre otras amenazas. Hoy en día, mantener a salvo la información personal es más difícil que hace unos años. Y se torna más complicado si entra en juego una organización institucional.
Los datos privados de los catalanes están en riesgo
El referéndum del pasado 1 de octubre está trayendo consecuencias de muchos tipos. Hemos visto cómo Cataluña ha vivido uno de sus días más convulsos de las últimas décadas. La comunidad internacional ha sido testigo de los hechos acaecidos, y el estado está en boca de todos. Pero hay un peligro que va más allá de la política.
¿Qué hay de los datos personales que los catalanes aportaron en las votaciones? Por supuesto, era necesario validar la identificación al votar. Había que presentar el DNI, el código postal y la fecha de nacimiento. Al haber una prohibición por parte del Gobierno de España, con el consecuente bloqueo, la organización del referéndum optó por replicar la página web original.
Para ello, recurrió a la utilización del protocolo IPFS (InterPlanetary File System). El uso de esta opción se hizo público en el medio Hacker News, y apuntaban a que era un grave error. Esta decisión de La Generalitat dejó expuesta la base de datos, donde iban a parar los datos de todos los votantes catalanes.
La Generalitat cometió un error al replicar la web original
No es que el protocolo IPFS sea una mala idea para evitar un bloqueo como el del 1 de octubre, porque logra replicar webs y su contenido. Pero sí que es un método precario en lo referente a la protección de datos privados. Esto convirtió las votaciones en un blanco fácil para cualquiera con malas intenciones.
En el referéndum, se asignaba un código a cada voto. Generaba un hash (una función para encriptar) a base de 1714 repeticiones del algortimo SHA256. Se trataba de un acto simbólico, para hacer homenaje al famoso 11 de septiembre del año 1.714. Sin embargo, no se aplicó un salt a cada entrada.
Esta práctica añade pequeños datos para hacer que los hash sean más complicados de crackear. Es por ello que los datos personales proporcionados por cada catalán quedaron en bandeja, para ser robados con facilidad.
Tal y como apunta el experto Sergio Lopez en su cuenta de Twitter, es cuestión de que alguien dedique un poco de tiempo para lanzar un ataque. De ser así, la información privada de los catalanes que votaron quedaría completamente expuesta.
