Un fallo de seguridad compromete los datos de millones de españoles

Samuel Parra
07/03/10

Un fallo de seguridad en un servicio online del Servicio Público de Empleo Estatal permitía acceder a datos privados de varios millones de ciudadanos españoles. Para explotarlo sólo era necesario conocer el número de DNI de la víctima.

...Siga leyendo, haciendo click en el título...


El error no fue corregido a pesar de ser puesto de manifiesto en sede judicial; tuvo que intervenir la Agencia Española de Protección de Datos para que, tras más de un año, subsanaran el fallo de seguridad.

Siempre he criticado que las grandes Administraciones Públicas, las que manejan millones de datos personales de nosotros, no se toman en serio esto de la protección de datos de carácter personal; y esto así, al menos mi opinión, porque no son conscientes de lo valioso de la información que tratan y además parece no importarles lo que ocurra con ella.
Y prueba de ello es lo que hoy voy a contar, en primera persona.

Allá por octubre de 2007, como uno más de los varios millones de españoles, solicité una prestación contributiva por desempleo en Murcia.

Tras ser concedida se me entregó un “justificante de demanda de empleo” (DARDE), en el cual figuraba la fecha en la que me había dado de alta en el Servicio Público de Empleo Estatal (SPEE).
Y aquí comenzaron las irregularidades.

Se me informó que debía renovar la tarjeta (DARDE) en las fechas indicadas en ese documento y que podía hacerlo por Internet; para ello, debía acudir a la sección de “Tu oficina SEF en casa” de la dirección web http://www.sefcarm.es.
Una vez allí, sólo tendría que introducir mi número de DNI y como contraseña la fecha en la que me había dado de alta en el SPEE, o sea, la fecha que figuraba en el DARDE.

A cualquier aficionado en seguridad ya le debe llamar la atención que para acceder a un servicio público con cierta trascendencia para el ciudadano, la contraseña sea una fecha y encima impresa en un papel que tienes que llevar de un lado para otro y conservarlo durante muchos meses.
Pues sí, este mecanismo de “autenticación” perdura actualmente, siendo imposible modificar la “contraseña” (fecha de alta). Excuso decir, que aun desconociendo la fecha, ¿cuántas posibles combinaciones puede haber para un ciudadano medio? ¿2000? ¿3000? Pero esto es otra historia…

No había salido aun de mi asombro, cuando accedo al sistema: pongo mi DNI y la fecha correspondiente.

Al entrar se tienen una serie de servicios disponibles, me centraré aquí en el que me interesaba: renovación de la demanda de empleo (o consulta de de la demanda, es lo mismo).
Hacemos click, aparecen todos mis datos personales, incluidos los de formación, cursos, empresas en las que he podido trabajar, carnet de conducir, etc.
Solo me falta darle a “Renovar” y ya está, demanda de empleo renovada.

¿Problema?

Pues no explico el problema, indico lo que enviaba el navegador web justo después de hacer click sobre “Renovación de la demanda”: