Un error de cifrado en la web del 1-O pone en riesgo los datos de los votantes

La web del referéndum de independencia del 1-O habría puesto en peligro los datos de más de 5 millones de catalanes. Así lo ha revelado Sergio López en su cuenta personal de Twitter, donde explica que el Govern no cifró correctamente los datos del censo. Aunque se usaba SHA265, los hashes no contaban con “salt”, por lo que podían descifrar para obtener los datos en texto plano. Además, la fecha de nacimiento y el código postal eran datos predecibles que se repetían en todos los hashes.

De esta manera, según desvela el titutero, los que se pueden obtener recogen el nombre, apellidos, dirección, fecha de nacimiento, y los 5 últimos dígitos del DNI (incluyendo la letra). Esto permite incluso que se pueda adivinar el DNI completo, ya que al final se reduce a 10-15 posibilidades con los números más comunes.

El mayor problema de cifrado vino cuando la Generalitat decidió utilizar IPFS para replicar el contenido, con el objetivo de luchar contra el cierre de las páginas web. Ahora 5 millones de catalanes se exponen a que su datos se usen para cometer fraudes y estafas.

Serio López ha calificado de especialmente grave este suceso porque ha sido fácil crear una prueba de concepto para mostrar cómo se pueden obtener los datos con tan sólo 83 líneas de código en su página de GitHub. Aunque atacar a todos los censados sería muy costoso y difícil, López expone a El Mundo que un ataque más localizado sí sería viable.

"Hacer un ataque por bloques a todos los residentes de un mismo código postal y una misma edad sería muy sencillo". Según explica, con una tarjeta gráfica de ordenador (GPU), se tardaría en torno a 90 minutos en forzar el acceso a la información de todo este conjunto.