censo-catalunya

Sobre manipulación informativa entorno a la protección de datos del censo durante el #CatalanReferendum

Recientemente, se han publicado sendos artículos en Xataca y El Pais inspirados por observaciones de usuarios de Twitter, sobre una supuesta vulnerabilidad de seguridad que exponía los datos del censo catalán a cualquier persona con un poco de tiempo libre y malas intenciones.
Una semana antes, a pocos días de la votación del referéndum, el Govern de Catalunya sorprendió utilizando una aproximación tecnológica cifrada y distribuida para sobrepasar la represión digital ejercida desde el gobierno central permitiendo que los ciudadanos pudieran consultar los colegios donde debían ir a votar. Los artículos citados ponen en duda la seguridad de este sistema y asegurando de manera alarmista que los datos de los ciudadanos están expuestos ya por culpa de este sistema.

Xnet ha estudiado la cuestión y al respecto queremos decir:

– Para empezar, como cualquier experto en informática sabe, la seguridad cien por cien no existe, con los suficientes recursos todo puede llegar a romperse o hackearse. Con los datos que tenemos ahora, podemos decir que la seguridad del censo es buena incluso en comparación con los censos del gobierno central sin contar las dudosas prácticas que lo ponen en circulación en periodo electoral.

– Para el caso del censo de Catalunya, las medidas de seguridad aplicadas han sido óptimas respecto al valor de los datos en riesgo: DNI (truncado, solo las 5 últimas cifras), código postal y fecha de nacimiento. Datos que podrían conseguirse de manera mucho más fácil con ataques de fuerza bruta u otro tipo de ataques en otros registros. Así pues, la estrategia de la Generalitat nos parece una arriesgada aunque funcional y suficientemente segura solución de urgencia.

– Xnet ha contactado con otros expertos en criptografía para investigar el asunto. Este es el feedback recibido:
“El algoritmo criptográfico utilizado es seguro y en línea con los estándares ISO/IEC 18033-1:2015 y 18033-3:2010. Utiliza un bloque de cifrado de CBC que también se utiliza en entornos militares y 256 bits compatible con AAS Hashing. En este caso es normal que no se usara “SALT” (semilla) debido a que la base de datos tenía que poderse distribuir, ya que el descifrado se tenía que llevar a cabo en cada cliente, lo cual hubiera requerido exponer también el “SALT”. La crítica al no uso de SALT evidencia una falta de conocimiento en la materia y/o el no haber tenido en cuenta todos los elementos del caso.
Así pues, según nuestra opinión profesional, los autores no han puesto en peligro los datos personales del censo de Catalunya dado que el procedimiento de cifrado seguido está en línea con las normas estándar en esta materia. A pesar de que el escenario de ataque de fuerza bruta pueda ser plausible, la relación entre los datos obtenidos respecto a la inversión económica en tecnología requerida no resulta rentable.”

– La supuesta filtración de datos de la que habla El País y su titular alarmista se reduce a: con bastante tiempo libre y sabiendo los últimos 5 dígitos del DNI de alguien, se podría llegar a adivinar… su edad y su barrio. Algo bastante ineficiente para ese ladrón de datos teniendo en cuenta que la Administración publica y su pésima gestión de nuestros datos privados ha dejado durante años otras maneras mejores de obtener masivamente datos más detallados de los ciudadanos.

– Queremos pedir a Xataka, un medio sobre tecnología que seguimos y respetamos, que no caiga en las tentaciones de publicar información no suficientemente corroborada en forma de “dudas para el debate” ya que contribuyen a un falso debate que quiere reconstruir una simetría en el conflicto que no es tal y que en realidad crispa una situación en la que uno de los únicos datos objetivos y supraparte que tenemos es una constante violación de los derechos en Internet y de las libertades civiles por parte del Estado español. Al hacerlo sin las suficientes precauciones permite que un tema técnico sea utilizado políticamente por la propaganda y la creación de fake news. Respecto a El País, que de hecho lo incluye en su serial de ficción sobre “la red de interferencias rusa” que esta detrás de todo lo que pasa en Catalunya, como si no se tratara de un histórico conflicto político con amplia base social; queremos pedirle simplemente que deje de publicar fakenews, noticias inventadas e histéricas sobre lo que está pasando en Catalunya. Condenamos especialmente su deliberada intención de criminalizar estrategias de distribución y tecnologías de cifrado ya que estas están abriendo las puertas futuras a una mejora de la calidad democrática y su criminalización conlleva un permanente estado de excepción autoritario en un ámbito ya tan crucial como es nuestra vida en el espacio digital.