censo-catalunya

Sobre manipulació informativa entorn a la protecció de dades del cens durant el #CatalanReferendum

Recentment, s’han publicat sengles articles a Xataka i a El Pais inspirats per observacions d’usuaris de Twitter, sobre una suposada vulnerabilitat de seguretat que exposava les dades del cens català a qualsevol persona amb una mica de temps lliure i males intencions.
Una setmana abans, a pocs dies de la votació del referèndum, el Govern de Catalunya va sorprendre utilitzant una aproximació tecnològica xifrada i distribuïda per sobrepassar el bloqueig digital exercit des del govern central permetent que els ciutadans poguessin consultar els col·legis on havien d’anar a votar. Els articles citats posen en dubte la seguretat d’aquest sistema y asseguren, de manera alarmista, que les dades dels ciutadans han quedat exposades per culpa d’aquest sistema.

Xnet ha estudiat la qüestió i sobre això volem dir:

– Per començar, com qualsevol expert en informàtica sap, la seguretat cent per cent no existeix, amb els suficients recursos tot pot arribar a trencar-se o hackejarse. Amb les dades que tenim ara, podem dir que la seguretat del cens ha estat bona fins i tot en comparació amb la seguretat del cens en les eleccions generals, sense comptar les dubtoses pràctiques de posar-lo en circulació en període electoral per a la propaganda electoral.

– Per al cas del cens de Catalunya, les mesures de seguretat aplicades han estat muy buenas respecte al valor de les dades en risc: DNI (truncat, només les 5 últimes xifres), codi postal i data de naixement. Dades que podrien aconseguir-se de manera molt més fàcil amb atacs de força bruta o un altre tipus d’atacs en altres registres. Així doncs, l’estratègia de la Generalitat ens sembla una arriscada encara que funcional i prou segura solució d’urgència.

– Xnet ha contactat amb altres experts en criptografia per investigar l’assumpte. Aquest és el feedback rebut:
“L’algoritme criptogràfic utilitzat és segur i en línia amb els estàndards ISO / IEC 18033-1: 2015 i 18033-3:2010. Utilitza un bloc de xifrat de CBC que també s’utilitza en entorns militars i 256 bits compatible amb AAS Hashing. En aquest cas és normal que no es fes servir “SALT” (llavor) a causa de que la base de dades havia de poder-se distribuir, ja que el desxifrat s’havia de dur a terme a cada client, la qual cosa hagués requerit exposar també el “SALT “. La crítica al no ús de SALT evidencia una falta de coneixement en la matèria i / o el no haver tingut en compte tots els elements del cas.
Així doncs, segons la nostra opinió professional, els autors no han posat en perill les dades personals del cens de Catalunya atès que el procediment de xifrat seguit està en línia amb les normes estàndard en aquesta matèria. Tot i que l’escenari d’atac de força bruta pugui ser plausible, la relació entre les dades obtingudes respecte a la inversió econòmica en tecnologia requerida no resulta rendible.”

– La suposada filtració de dades de la qual parla El País i el seu titular alarmista es redueix a: amb prou temps lliure i sabent els darrers 5 dígits del DNI d’algú, algú podria arribar a endevinar … la seva edat i seu barri. Una cosa bastant ineficient per a aquest lladre de dades tenint en compte que l’Administració publica i la seva pèssima gestió de les nostres dades privades ha deixat durant anys altres maneres millors d’obtenir massivament dades més detallades dels ciutadans.

– Volem demanar a Xataka, un mitjà sobre tecnologia que seguim i respectem, que no caigui en les temptacions de publicar informació no suficientment corroborada en forma de “dubtes per al debat” ja que contribueixen a un fals debat que vol reconstruir una simetria en el conflicte que no és tal i que en realitat crispa una situació en la qual una de les úniques dades objectives i per sobre de les parts que tenim és una constant violació dels drets a Internet i de les llibertats civils per part de l’Estat espanyol. En fer-ho sense les suficients precaucions permet que un tema tècnic sigui utilitzat políticament per la propaganda i la creació de fake news. Pel que fa a El País, que de fet ho inclou en el seu serial de ficció sobre “la xarxa d’interferències russa” que està darrere de tot el que passa a Catalunya, com si no es tractés d’un històric conflicte polític amb àmplia base social; volem demanar-li simplement que deixi de publicar fakenews, notícies inventades i histèriques sobre el que està passant a Catalunya. Condemnem especialment la seva deliberada intenció de criminalitzar estratègies de distribució i tecnologies de xifrat ja que aquestes estan obrint les portes futures a una millora de la qualitat democràtica i la seva criminalització comporta un permanent estat d’excepció autoritari en un àmbit ja tan crucial com és la nostra vida a l’espai digital.