En su huida hacia adelante para organizar el referéndum suspendido por el Tribunal Constitucional, el Gobierno de Cataluña ha dejado al alcance de cualquiera con conocimientos de cifrado de datos todo el censo de esa comunidad autónoma. Los datos de más de cinco millones de ciudadanos mayores de 18 años que, por sí mismos o cruzados con otras bases de datos, pueden ser instrumentos para cometer fraudes y que han estado deambulando por el ciberespacio durante las últimas semanas, tal y como adelantó EL PAÍS el pasado 28 de septiembre.

Según han alertado varios expertos, el sistema de cifrado de los datos recopilados en secreto y empleados por las autoridades catalanas para elaborar el censo que iba a permitir el referéndum del 1 de octubre es fácilmente descifrable. El foro especializado Hacker News ha sido el primero en informar de este grave fallo de seguridad.

El protocolo que empleó la Generalitat para burlar la censura del Gobierno recibe el nombre de IPFS y consiste, a grandes rasgos, en una red de acceso distribuido y descentralizado con una única fuente de información. “Es un sistema P2P —entre usuarios— que crea una red social en la que se almacenan archivos sin que haya intermediarios”, explica Antonio Gonzalo, fundador de Ethereum Madrid. “El contenido que se sube a la red es público y cualquiera puede ver el contenido que hay dentro”. En otras palabras: con IPFS, cada usuario descarga la web y se convierte en un servidor y, para que esto funcione, se tiene que poder replicar la web, por lo que se replica la base de datos. Por este motivo, es imprescindible encriptarla.

1714, clave en el cifrado de los datos Félix Palazuelos En el código de la web se encuentra el número 1714, símbolo del independentismo que conmemora la caída de Barcelona ante las tropas de la corona borbónica durante la Guerra de Sucesión Española. El cifrado parte de un algoritmo matemático que opera 1714 veces para obtener la contraseña de descifrado. No es una casualidad. El problema de seguridad es la pequeña cifra de datos a averiguar por operaciones informáticas que se necesitan para transformar la base de datos en un texto plano: edad, tres cifras del código postal y unos pocos dígitos del DNI. Tarjetas gráficas de gran potencia y ordenadores dedicados a estas operaciones no tardarían mucho en convertir la base de datos de los votantes es un texto legible mediante intentos con fuerza bruta.

“El mecanismo de acceso a los ficheros se establece a través de un hash o algoritmo de resumen, que se descifra con un código que funcionaría como una firma digital”, expone Victor Escudero, experto en ciberseguridad. Este código consistía en una sucesión los últimos cinco dígitos del DNI, la letra del NIF, la fecha de nacimiento y el código postal. De esta manera, los ciudadanos catalanes podían consultar el colegio electoral en el que les tocaba votar. El problema está en que estos datos siguen un patrón sencillo y responden a un número limitado de combinaciones—365 días al año, 23 letras posibles en un NIF…— que un ordenador puede ir probando hasta acertar y descifrar casos particulares, en los que recogería estas cuatro variables para asociarlas a un usuario concreto.

El gobierno español, siguiendo las directrices de la justicia, intentó por todos los medios cerrar las webs que informaban a los ciudadanos catalanes sobre dónde votar. Esta información era crucial, puesto que los ciudadanos debían saber de antemano a qué colegio dirigirse para depositar su voto, y por este motivo, el propio Carles Puigdemont, presidente de la Generalitat, difundió una app mediante la cual los ciudadanos obtendrían dicha información.

Las autoridades españolas fueron bloqueando el acceso a las sucesivas webs que contenían esos datos, con lo que la Generalitat optó por utilizar un sistema de réplica de los contenidos (incluyendo la base de datos, que a su vez incluye los cinco últimos dígitos del DNI, la letra del NIF, la fecha de nacimiento y el código postal) que haría virtualmente imposible cerrarlas todas. Esas webs con contenidos idénticos iban multiplicándose, mientras paralelamente aparecían nombres de dominios en Europa, Estados Unidos y según reveló este diario, países sin acuerdos de legislación digital con España, como Rusia.

Han pasado ya unos cuantos días desde el #1Oct, así que creo que urge el contar esta historia. — Sergio Lopez (@slp1605) 4 de octubre de 2017

El foro Hacker News ha localizado la vulnerabilidad del procedimiento: el sistema de cifrado de datos empleado por las autoridades catalanas sería fácilmente descifrable sin necesidad de contar con potentes equipos. El profesional informático Sergio López ha probado él mismo esta posible vulnerabilidad empleando datos falsos, y ha comprobado que es real: un usuario avanzado puede obtener de una manera sencilla los datos personales del censo.

“Para sortear el bloqueo de las webs se emplea un sistema que distribuye la web completa y pone la base de datos al descubierto aunque esté cifrada”, explica López a EL PAÍS. Mediante un ataque de “fuerza bruta” y en unas pocas horas, se puede obtener dicha información. López se refiere también a la debilidad del cifrado: “Una parte enorme de la clave es predecible: cualquier puede deducir que en un código postal concreto en un año determinado va a haber una secuencia concreta”. Este profesional de la informática ha publicado el hilo en Twitter, alarmado al comprobar que “cualquiera” puede obtener estos datos y con otros fines.

Según el experto, los datos "han sido comprometidos" y "están a la disposición de cualquiera en Internet". "Si yo, que NO me dedico a la seguridad TI y sólo tengo conocimientos básicos de criptografía, me he dado cuenta, los malos lo saben seguro", asegura en su hilo de Twitter.

La Agencia Española de Protección de Datos asegura que una posible sanción a la Generalitat sería competencia de la Autoridad Catalana de Protección de Datos. Esta última "ha iniciado un trámite de información previa para comprobar el contenido de esta información y su alcance", según ha indicado una portavoz a EL PAÍS, informa Isabel Rubio.