Es noticia
El censo completo de los catalanes al descubierto en la red, y otros cuentos chinos
  1. Tecnología
  2. Homepage
Manuel Ángel Méndez

Homepage

Por

El censo completo de los catalanes al descubierto en la red, y otros cuentos chinos

Una lectura alejada del 'spin' político descubre una maraña de grises: ni la Generalitat ha dejado los datos de sus ciudadanos al descubierto ni cualquiera con una conexión a internet puede 'hackearlos'

Foto:

¿Ha cometido la Generalitat la mayor violación de datos personales de la historia de la democracia subiendo a internet el censo catalán al completo para celebrar el referéndum, o ha creado un sistema a prueba de ciberataques que protege al máximo los datos de sus ciudadanos? Dependiendo del tuit o artículo que leas ahí fuera parecerá que ha ocurrido una cosa o la otra. En realidad, niguna de las dos. Varios análisis técnicos realizados durante las dos últimas semanas han diseccionado casi todas las posibilidades. Una lectura alejada del 'spin' político descubre una maraña de grises: ni la Generalitat ha dejado los datos de sus ciudadanos al descubierto ni cualquiera con un ordenador y una conexión a internet puede 'hackearlos'. ¿Qué está pasando?

No, el censo no está al descubierto

"Soy informático, pero no me especializo en ciberseguridad. Tan sólo quería advertir de una vulnerabilidad potencial en una base de datos que, en estos momentos, se encuentra en manos de un número indeterminado de personas", explica el informático Sergio López en conversación telefónica. López ha sido el último en analizar la arquitectura de las webs puestas en marcha por el Govern para informar a los ciudadanos sobre dónde tenían que votar el pasado 1-O. Su análisis, en forma de hilo en Twitter (¡otro más!) ha levantado una polvareda de interpretaciones, muchas de las cuáles no tienen nada que ver con la realidad.

placeholder

La principal es que el censo al completo de ciudadanos mayores de 18 años en Cataluña ha quedado totalmente expuesto, a merced de cualquier 'hacker' que quiera hacerse con él. Es falso. El asunto venía desmenuzándose ya mucho antes por otros especialistas. Daniel Aresté fue uno de ellos. El 22 de septiembre publicó uno de los análisis técnicos más completos de las webs onvotar.garantiespelreferendum.com, ref1oct.cat y ref1oct.eu. ¿Cómo funcionaban?

De una forma muy sencilla pero a la vez ingeniosa. "Bastaba con teclear el DNI, la fecha de nacimiento y el código postal para obtener un lugar de votación. Por detrás, un sistema criptográfico procesaba esas entradas y devolvía un identificador, una llave, para saber qué información de la base de datos debía entregar. Lo importante es que todos esos registros estaban cifrados con un hash, una función resumen. Y tampoco almecenaba los DNIs al completo, solo los cinco últimos dígitos y la letra", explica Aresté.

Usar la palabra "descubierto" lleva a engaño: los datos estaban cifrados. Podías descargarlos, pero solo obtendrías datos 'hasheados'

Usar la palabra "descubierto" ya lleva a engaño: los datos estaban cifrados. Es cierto que podías descargarlos, acceder a la arquitectura de la web publicada online lista para ser replicada, ir a la carpeta "db" y entrar en el censo. Pero solo tendrías acceso a los datos 'hasheados', es decir, combinaciones aleatorias de letras y números que tendrías que intentar hackear. ¿Cómo? Con fuerza bruta. Y aquí llega el segundo inconveniente: necesitarías muchos años y dinero para conseguirlo.

80.000 euros en computación

'Hackear' un sistema con fuerza bruta es justo lo que indica el nombre: consiste en probar y probar combinaciones hasta dar con la correcta que descifraría los DNIs (solo los cinco números y la letra), las fechas de nacimiento o el código postal. Aresté fue el primero en calcular cuánto tiempo y recursos llevaría hacer algo así. Se necesitaría una enorme capacidad de cálculo, casi un superordenador. No reparó en gastos (teóricos) y miró en Amazon Web Services.

placeholder (Reuters)
(Reuters)

"Podrías utilizar esta GPU de Amazon. La potencia total que obtienes para descifrar el hasheado es de 12.275.6 MH/s (unos 10^10 por segundo). Los hashes totales que tienes que calcular para descifrar el censo por fuerza bruta son del orden de 10^17. Una simple división te dice que necesitas 10 millones de segundos para completarlo con esa máquina. Eso equivale a unos 115 días. El proceso es paralelizable así que para reducir tiempo te bastaría con contratar varias de esas máquinas y ponerlas a trabajar simultáneamente, aunque prepara la cartera", nos explica. No calculó cuánto, pero hablamos de muchos cientos de miles de dólares.

El 'hacker' Klondike sí estimó lo que costaría todo esto, pero con un ordenador menos potente: alrededor de 80.000 euros y una GPU corriendo durante 200 años. "Es posible hacerlo pero es muy caro, básicamente puedes calcular cada combinación de DNI (5 dígitos con letra), fecha de nacimiento (un rango de 128 años es más que suficiente) y código postal de forma independiente y ver cuáles se encuentran en tu copia de la base de datos. En su momento obtuve que el coste era de unos 80.000€. Demasiado para el poco valor que aportarían esos datos", señala por correo electrónico.

Atacar la BBDD con fuerza bruta a lo loco es complejo y caro, mis cálculos me dicen que tardarías 66 años en descifrarla toda

El análisis más reciente de Sergio López daba una alternativa. ¿Por qué no escoger solo una porción de la base de datos? Por ejemplo, todos los nacidos en un año y dentro de un mismo código postal. "Atacar la BBDD con fuerza bruta a lo loco es complejo y caro, mis cálculos me dicen que tardarías 66 años en descifrarla toda. Pero si seleccionas una porción, podrías dar con los DNIs de algunos cientos de ciudadanos en 90 minutos", explica. Bien, pero seguirías necesitando descifrar el resto.

Incluso disponiendo del tiempo y el dinero, en todos los escenarios se llega a la misma situación: DNIs a los que les falta los tres primeros dígitos asociados a una fecha de nacimiento y un código postal. Para cada ciudadano habría hasta 45 posibles números correspondientes a ese DNI. "Si quitas los más altos, los de por encima de 80 millones, y los más bajos, por debajo de un millón, reduces a 16 posibilidades por persona". ¿Y ahora qué? Toca hacer ingeniería social.

A buscar en Facebook y Google

La ingeniería social consiste a grandes rasgos en bucear en redes sociales y Google, en rastrear la huella digital de una persona. En este caso, en buscar pistas que conecten los 16 posibles DNIs con la fecha de nacimiento y código postal correcto de cada ciudadano para dar con su identidad. Y esto no se puede hacer con fuerza bruta. Estamos ante un descomunal esfuerzo de tiempo y dinero... ¿para qué? Para obtener unos datos cuyo valor es limitado.

placeholder (Foto: Reuters)
(Foto: Reuters)

¿Qué se podría hacer con ellos? Más ataques de ingeniería social. Por ejemplo: enviar emails muy personalizados con malware para obtener constraseñas bancarias u otro tipo de datos de gran valor que podrían justificar toda la inversión anterior. Para un ciberdelincuente profesional, que es quien podría plantearse este tipo de aventura, no saldría rentable. Como dice el desarrollador David Arcos, "las fechas de nacimiento y códigos postales no son información privada. De hecho, saldría mucho más barato 'comprar' esos datos".

Una temeridad de 5,3 millones de datos

Se han utilizado muchas palabras para describir lo que ha hecho la Generalitat con el censo de sus ciudadanos, y quizás la más socorrida ha sido 'chapuza'. En lo que respecta a la publicación online del censo cifrado y en una arquitectura que permitía saltarse el bloqueo informático inicial de la Guardia Civil, la solución fue de todo menos chapucera (eso fue el recuento). En realidad fue brillante.

Foto: Agente de la Guardia Civil custodia el colegio de Sant Julià de Ramis (Girona) donde inicialmente tenía previsto votar Carles Puigdemont (Robin Townsend / EFE)

El sistema logró saltarse el bloqueo y permitió a cientos de activistas replicar los datos, a la vez que ofreció la seguridad necesaria como para desincentivar lo justo a los cibercriminales. ¿Suficiente? En absoluto. Tal vez la palabra que mejor defina lo que hizo la Generalita en este frente es 'temeridad': secuestraron los datos de más de 5 millones de ciudadanos arriesgándose a posibles ciberataques con la esperanza de que no ocurriera nada. Pero no nos equivoquemos: eso es muy diferente a dejar al descubierto los datos o publicar el censo al completo y en plano en internet. La tecnología, a diferencia de la política, es un poco más difícil de manipular. Por suerte.

¿Ha cometido la Generalitat la mayor violación de datos personales de la historia de la democracia subiendo a internet el censo catalán al completo para celebrar el referéndum, o ha creado un sistema a prueba de ciberataques que protege al máximo los datos de sus ciudadanos? Dependiendo del tuit o artículo que leas ahí fuera parecerá que ha ocurrido una cosa o la otra. En realidad, niguna de las dos. Varios análisis técnicos realizados durante las dos últimas semanas han diseccionado casi todas las posibilidades. Una lectura alejada del 'spin' político descubre una maraña de grises: ni la Generalitat ha dejado los datos de sus ciudadanos al descubierto ni cualquiera con un ordenador y una conexión a internet puede 'hackearlos'. ¿Qué está pasando?

Hackers Generalitat de Cataluña Ley de protección de datos
El redactor recomienda