Ir a la barra de herramientas
InternetNoticias

La clonación web del evento del 1 de octubre en Cataluña, expone los datos del censo

La base de datos de las web del evento realizado en Cataluña el pasado 1 de octubre, estaría comprometida, por el sistema de duplicación de la web, mediante el protocolo IPFS.

Esta web es de hardware y tecnología y la política (o lo que se supongan que hagan), se la vamos a dejar a los políticos, pero hay algo muy importante acerca del ‘referéndum’ celebrado en Cataluña este pasado fin de semana. El bloqueo del estado español a las páginas web para este evento realizado, obligaron a los organizadores hacer uso del protocolo IPFS, algo que es un error muy grave. Hacer uso de este protocolo ha dejado expuestos los datos de los votantes.

Sergio López (@slp1605, en Twitter), ha destapado este problema y sin ser un profesional tecnológico ni relacionado con temas de seguridad informática. Este usuario se ha dado cuenta que cualquier con su ordenador doméstico, puede ver el nombre, NIF, fecha de nacimiento y todos los datos personales de los votantes del evento del pasado fin de semana. Los datos posiblemente ya han sido obtenidos por muchos avispados, algo que podría llevar a la suplantación de la identidad de los usuarios.

Hacker News se hacía eco del uso de los responsables del evento del 1 de octubre, del sistema InterPlanetary File System o IPFS, algo que llevo a López a buscar más datos. El protocolo ‘hace la web más rápida, segura y abierta’, como se puede leer en la web y que sencillamente, duplica los sitios web, con sus contenidos, códigos y bases de datos, usando a los usuarios que acceden como nodos del sitio web. Para evitar bloqueos, está muy bien, pero el problema es que la base de datos queda expuesta, como explica López. El facilitar el acceso a la base de datos es un gran problema, pero es que el diseño de esta base de datos, hace más simple el ataque potencial y la obtención de la misma.

Las entradas definidas por NIF, fecha de nacimiento y código postal, cuentan con un código generado mediante hash con 1714 interacciones de algoritmo SHA-256. El número de 1714, corresponde al 11 de septiembre de 1714, que fue la fecha en que Barcelona fue conquistada durante la guerra de Sucesión de España, una fecha usada por los afines a la independencia. El uso del hash no es suficiente, ya que las entradas de las bases de datos no han sido cifradas, ni cuentan con salt, que cifra cada una de las entradas para la protección de los datos. Esto hace fácil los ataques, como dice López.

Este usuario además ha comentado que, él, que tiene conocimientos básicos en seguridad y criptografía, ha podido acceder, aseguro que hackers con grandes conocimientos tienen estos datos desde hace un montón de tiempo e invita a los desarrolladores de estas webs, que las quiten por seguridad. Dicho problema de seguridad es muy importante y puede llevar a muchos usuarios a presentar demandas, por no garantizar la seguridad y privacidad de sus datos personales.

Roberto Solé

Técnico en sistemas de generación de energía sustentables e instalador de sistema de distribución de energía en vivienda. Trabajo delante de un PC, en mi tiempo libre estoy delante de un PC y cuando salgo de casa estoy pegado a la pantalla de mí smartphone. Cada mañana cuando me levanto cruzo el Stargate para hacerme un café y empezar a ver vídeos de YouTube mientras hago ver que escribo aquí. Una vez vi un dragón... ¿o era un Dragonite?

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Botón volver arriba