Los independentistas usaron un “algoritmo invulnerable” para piratear el censo
La Agencia de Protección de Datos propone dos líneas de investigación para identificar a los responsables
El algoritmo se llama "SHA256 v2", es "invulnerable" y fue el que utilizaron los independentistas para ocultar y propagar las copias del censo electoral usado en el referéndum ilegal del pasado 1 de octubre. Se trata de un fichero "troceado", repartido en distintos servidores de distintos países, utilizando una tecnología similar a la usada por Wikileaks. La tecnología utilizada, que implicaba que surgía una réplica de manera casi inmediata en cuanto se cerraba un acceso, convirtió en una lucha titánica para los investigadores su rastreo.
En todo caso, la Agencia Española de Protección de Datos (AEPD) deduce que el funcionamiento que tuvo la página On Votar implica el uso de una copia del censo electoral, ya que a través de ella un ciudadano catalán, introduciendo su DNI, fecha de nacimiento y código postal, podía averiguar cuál era el colegio electoral y la mesa en la que le tocaba votar. Por eso ha abierto varias líneas de investigación para dar con el origen de ese censo y los responsables de su réplica.
"En el marco de las acciones realizadas por la Subdirección General de Inspección de Datos con relación a la posible utilización del censo electoral por parte de la Generalitat de Cataluña en el referéndum del 1 de octubre de 2017 le solicito que a la máxima brevedad posible nos haga llegar, si la tuviere, la siguiente información y evidencias sobre: las ubicaciones físicas, URLs, y direcciones de los servidores web y la aplicaciones puestas en funcionamiento para permitir a los ciudadanos consultar el colegio electoral y las mesas que les han asignado. Y los responsables que han posibilitado el funcionamiento de esos servidores", reza la solicitud emitida por la citada Subdirección a las autoridades españolas.
La persecución de los ficheros permitió ir identificando qué clase de sistema de cifrado habían usado. En los primeros momentos en los que el portal estuvo online se hizo pública una dirección de internet que apuntaba a un servidor de Estados Unidos, lo que hizo pensar que los datos se encontraban en dicha ubicación. Y fue después de que las autoridades cerraran infructuosamente el acceso a la dirección original y a varias réplicas que surgieron de forma inmediata cuando se pensó que el número de copias del servidor no era constante, sino que se estaba clonando con facilidad.
La realidad era que "los servidores que proporcionaban acceso a a página On Votar utilizaban múltiples copias del censo, cada uno tenía la suya propia".
Deslocalización del censo
Las copias del censo no se encontraban integradas en ningún país concreto sino que se empleaba una tecnología llamada IPFS (InterPlanetary File System o sistema de archivos interplanetario) que permitía que múltiples trozos de ese fichero estuvieran distribuidos y accesibles por distintos países. Se trata de una tecnología similar a la usada por Wikileaks y otros portales del hacktivismo.
Los investigadores se encontraron así ante lo que se llama una web "autocontenida", que hacía posible que cualquier persona con acceso a internet se pudiera bajar una réplica completa del censo, cifrado, y construir un clon de la página On Votar. Sin embargo, el cifrado aplicado hacía prácticamente imposible acceder a la información de una persona sin conocer su DNI, fecha de nacimiento y código postal. El cifrado empleado es un algoritmo conocido (AHA256 v2) por ser invulnerable en la actualidad, con la capacidad de cálculo existente.
La facilidad de replicar este sistema hacía muy complicado el bloqueo de un fichero que puede cambiar de ubicación casi de forma inmediata. Debido a la tecnología que se usó para la distribución de partes de los ficheros en diferentes servidores de distintos países, era imposible conocer con exactitud la ubicación de un dato determinado, y tampoco era viable contar con la colaboración de otras autoridades.
Eso sí, según lo averiguado, "el cifrado utilizado impedía el acceso sin cifrar a los datos para terceras personas o empresas encargadas de los servidores donde se ubican". Y, en consecuencia, "el único uso que podía tener un fichero de estas características es, además del propósito electoral, es verificar si un DNI, fecha de nacimiento y un código postal conocidos se correspondían".
Líneas de investigación abiertas
La Agencia Española de Protección de Datos quiere depurar responsabilidades y, para ello, sigue dos líneas principales de investigación. Por un lado, "habría que investigar el origen de los datos del fichero, bien sea rastreando hacía atrás alguna de las copias ubicadas en los servidores. Esta tarea entraña una inmensa dificultad por tratarse de un fichero pequeño, ubicado en un país extranjero y cuya transferencia no requiere apenas de conocimientos técnicos o medios económicos". La conclusión es que "cualquier persona con conocimientos básicos de informática, con la información disponible en Internet, podría crear un clon del programa y ocultar todos sus pasos".
La otra línea de investigación es la de "buscar el origen del fichero o copia maestra a la que se añadió la información de las mesas electorales, a partir de los datos del propio fichero. El INE coloca determinadas marcas en sus versiones del censo antes de distribuirlas, precisamente para poder determinar el origen de una copia que apareciera de manera irregular. Con la colaboración del INE existe alguna posibilidad de investigar de qué copia legal procede el fichero utilizado. A partir de ese punto, la investigación podría centrarse en el organismo u organismos a los que se les facilitó la copia".
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.
Sobre la firma
Más información
Archivado En
- Procés Independentista Catalán
- Algoritmos computacionales
- Big data
- AEPD
- Declaración Unilateral Independencia
- Analítica datos
- Ley Referéndum Cataluña
- Independentismo
- Legislación autonómica
- Bases datos
- Agencias Estatales
- Referéndum 1 de Octubre
- Tecnologías información
- Computación
- Generalitat Cataluña
- Referéndum
- Autodeterminación
- Cataluña
- Elecciones
- Conflictos políticos
- Gobierno autonómico
- Administración Estado
- Comunidades autónomas
- Política autonómica
- Informática