iProfesional

Los registros, que pueden ser instrumentos para cometer fraudes, han estado deambulando por el ciberespacio durante las últimas semanas
06/10/2017 - 14:15hs

El Gobierno de Cataluña dejó al alcance de cualquiera con conocimientos de cifrado de datos todo el censo de esa comunidad autónoma.

Los datos de más de cinco millones de ciudadanos mayores de 18 años que, por sí mismos o cruzados con otras bases de datos, pueden ser instrumentos para cometer fraudes y que han estado deambulando por el ciberespacio durante las últimas semanas.

Según alertaron varios expertos, el sistema de cifrado de los datos recopilados en secreto y empleados por las autoridades catalanas para elaborar el censo que iba a permitir el referéndum del 1 de octubre es fácilmente descifrable. El foro especializado Hacker News fue el primero en informar de este grave fallo de seguridad. 

El protocolo que empleó la Generalitat para burlar la censura del Gobierno recibe el nombre de IPFS y consiste, a grandes rasgos, en una red de acceso distribuido y descentralizado con una única fuente de información.

“Es un sistema P2P —entre usuarios— que crea una red social en la que se almacenan archivos sin que haya intermediarios”, explicó Antonio Gonzalo, fundador de Ethereum Madrid, citado por el diario español El País. “El contenido que se sube a la red es público y cualquiera puede ver el contenido que hay dentro”, dijo.

En otras palabras: con IPFS, cada usuario descarga la web y se convierte en un servidor y, para que esto funcione, se tiene que poder replicar la web, por lo que se replica la base de datos. Por este motivo, es imprescindible encriptarla.

En el código de la web se encuentra el número 1714, símbolo del independentismo que conmemora la caída de Barcelona ante las tropas de la corona borbónica durante la Guerra de Sucesión Española.

El cifrado parte de un algoritmo matemático que opera 1714 veces para obtener la contraseña de descifrado. No es una casualidad.

El problema de seguridad es la pequeña cifra de datos a averiguar por operaciones informáticas que se necesitan para transformar la base de datos en un texto plano: edad, tres cifras del código postal y unos pocos dígitos del DNI.

Tarjetas gráficas de gran potencia y ordenadores dedicados a estas operaciones no tardarían mucho en convertir la base de datos de los votantes es un texto legible mediante intentos con fuerza bruta.

“El mecanismo de acceso a los ficheros se establece a través de un hash o algoritmo de resumen, que se descifra con un código que funcionaría como una firma digital”, dijo Victor Escudero, experto en ciberseguridad.

Este código consistía en una sucesión los últimos cinco dígitos del DNI, la letra del NIF, la fecha de nacimiento y el código postal. De esta manera, los ciudadanos catalanes podían consultar el colegio electoral en el que les tocaba votar.

El problema está en que estos datos siguen un patrón sencillo y responden a un número limitado de combinaciones—365 días al año, 23 letras posibles en un NIF…— que un ordenador puede ir probando hasta acertar y descifrar casos particulares, en los que recogería estas cuatro variables para asociarlas a un usuario concreto.