Sobre el autor

Samuel Parra

Experto en privacidad y protección de datos de carácter personal. 14 años de experiencia en el sector.

Artículos Relacionados

60 comentarios

  1. 60

    Ã?ngel

    Llevan dos años y medio gestionándose.

    Puedes ver el proceso (y las demoras) en https://bugzilla.mozilla.org/show_bug.cgi?id=435736

    Lo que realmente da miedo es que da la impresión de que no tengan conciencia de su importancia.

    Responder
  2. 59

    la cabra

    PUF.MIEDO ME DA. Con decirte que si entras en cualquier página estatal , por ejemplo esta https://www.citapreviadnie.es/ desde mozilla firefox te sale este mensaje de bien benida.Como para fiarse de ellos.

    Esta conexión no está verificada

    Ha pedido a Firefox que se conecte de forma segura a http://www.citapreviadnie.es, pero no se puede confirmar que la conexión sea segura.
    Normalmente, cuando se intente conectar de forma segura, los sitios presentan información verificada para asegurar que está en el sitio correcto. Sin embargo, la identidad de este sitio no puede ser verificada.

    ¿Qué debería hacer?
    Si normalmente accede a este sitio sin problemas, este error puede estar ocurriendo porque alguien está intentando suplantar al sitio, y no debería continuar.
    Detalles técnicos
    http://www.citapreviadnie.es usa un certificado de seguridad no válido.

    No se confía en el certificado porque no se confía en el certificado emisor.

    (Código de error: sec_error_untrusted_issuer)

    Entiendo los riesgos

    Responder
  3. Pingback: La web de la DGT permite conocer los sancionados por multas de tráfico | Proteccion de Datos - Ley de Proteccion de Datos - LOPD

  4. 58

    malena

    Lo que está claro es que ni las administraciones o empresas públicas dan ejemplo en el cumplimiento de la Ley. La diferencia está en que, a veces, no reciben el mismo trato que las privadas, o, en ocasiones, saben como salir mejor parados de las sanciones. En esto como en todo, hay rangos superiores e inferiores….

    Responder
  5. 57

    Samuel Parra

    Hola Pit. Sí, yo también recuerdo esos comentarios que nos cruzamos, pero no es incompatible una cosa con la otra ¿no?

    Responder
  6. 56

    Pit

    Samuel, estaba leyendo esto:
    http://www.iuriscivilis.com/2010/04/proteccion-de-datos-personales-iberia.html

    y me acordé de ti. Recuerdo haber contado aquí que un inspector me habia dicho que el DS era ley para la empresa. Me respondiste que las medidas de seguridad eran finalistas (deber de resultado), segun ha manifestado reiteradamente la AN. Yo me quedé con la idea de preguntarlo en alguna inspección a la que asistiese posteriormente, pero la verdad es que se me olvidó.

    Y leo en el artículo citado que dice el TS:
    “debe adoptar las medidas de seguridad a que se refiere el citado RD, entre las que destaca el documento de seguridad a que alude el artículo 8 del mentado Reglamento, del que en la demanda -hecho séptimo- se reconoce que se carece. Omisión que, como se razona en la resolución recurrida, resulta trascendente por cuanto dicho documento es de obligado cumplimiento para el personal con acceso a los datos”

    Responder
  7. 55

    Pit

    juan dijo:

    Kialaya dijo:
    Quisiera puntualizar que no es mi deseo molestar a nadie con lo de que “el que dice que eso es un hackeo no es por nada pero de informática mucha idea no tieneâ€?. Yo misma no tengo grandes conocimientos de informática, programación ni redes, muchísimo menos para “hackearâ€? ningún sistema pero lo que describe este señor en su blog es sencillamente sustituir unos números por otros en una dirección URL del navegador. Dudo que eso se pueda considerar “hackearâ€? un sistema de cualquiera de las maneras. Y el programita que hizo sólo automatizaba dicho proceso por lo que le he entendido, no hacía nada más realmente. Releyendo mi anterior comentario he querido mencionar esto antes de que a alguien le molestase.

    Sorprende que se esté manipulando descaradamente el uso de técnicas de hacking, en este caso, muy básicas, para justificar la negligencia de los que han construido la web.

    Cambiar la URL no es técnica de hacking. Para eso no hace falta haber ido a ningun curso de informatica, eso lo sabe hasta un niño de 10 años.

    Responder
  8. 54

    juan

    Kialaya dijo:

    Quisiera puntualizar que no es mi deseo molestar a nadie con lo de que “el que dice que eso es un hackeo no es por nada pero de informática mucha idea no tieneâ€?. Yo misma no tengo grandes conocimientos de informática, programación ni redes, muchísimo menos para “hackearâ€? ningún sistema pero lo que describe este señor en su blog es sencillamente sustituir unos números por otros en una dirección URL del navegador. Dudo que eso se pueda considerar “hackearâ€? un sistema de cualquiera de las maneras. Y el programita que hizo sólo automatizaba dicho proceso por lo que le he entendido, no hacía nada más realmente. Releyendo mi anterior comentario he querido mencionar esto antes de que a alguien le molestase.

    Sorprende que se esté manipulando descaradamente el uso de técnicas de hacking, en este caso, muy básicas, para justificar la negligencia de los que han construido la web.

    Responder
  9. Pingback: La base de datos de parados en España, al descubierto | Guías Informáticas

  10. 53

    ciudadano

    Por lo visto, está claro que la Administración tiene mas fácil incumplir las leyes que los ciudadanos a los que supuestamente ha de servir, y que no parece buen negocio sancionarla dado que al final el pato lo acabamos pagando los contribuyentes, saliendo los verdaderos responsables “de rositas”.
    Sin embargo, no me he terminado de enterar si en el caso denunciado por Samuel (o en otros que alguno conozca) se ha utilizado la posibilidad prevista en la LOPD de que en la Resolución Sancionadora el Director de la Agencia propongo la iniciación de actuaciones disciplinarias. Y también quiero que opinéis sobre si no os parece a todas luces injustificado utilizar el término “podrá proponer” del art. 46.2 de la LOPD asociado a una situación en que recae una resolución en que se declare una infraccción de la normativa de protección de datos, en lugar del “deberá proponer” (¿o no somos todos los ciudadanos iguales ante la ley?).

    Responder
  11. Pingback: Innovations Blog: Morsels of Actuality (106th)

  12. Pingback: Blog der Neuheiten: Bissen der Gegenwart (106.)

  13. Pingback: Blog novizny: ЗакуÑ?ки СовременноÑ?ти (106-ой)

  14. 52

    Alejandro

    No, no has captado mi sutil matiz. Me refiero a que la admon. no tiene objetivos y la productividad en los mandos bajos, medios y altos depende de las horas dedicadas, no del trabajo sacado adelante o su calidad. Una cosa así para una empresa privada sería un gran varapalo, que en el mejor de los casos supondría ser el hazmerreír del sector durante un tiempo y en el peor, su final.

    Responder
  15. 51

    Pablo Rodríguez

    Alejandro, así para la Administración parece que es opcional cumplir la protección de datos o no. Es una cuestión de responsabilidad. Si una organización sin ánimo de lucro (y depende de como, un particular) no cumple, dinerito contante y sonante, y si la Administración no cumple, ¿no? Me temo que se puede hacer mucho más daño en el segundo caso que en el primero (de hecho estoy convencido de que en muchos casos es así), y las sanciones deben ser un motivo para cumplir la normativa. Que tenemos que cumplir todos.

    Responder
  16. 50

    David González Calleja

    La Agencia ha declarado la infracción pero, como no podía ser de otra manera, no ha habido sanción económica.

    Responder
  17. 49

    Ã?udea

    “Un fallo de seguridad” de más de un año no es un fallo, sino manifiesta negligencia e imprudencia. En cuanto a la posibilidad de sanciones a una Administración Pública, la Agencia Española de Protección de Datos acaba de sancionar a la Delegación de Pontevedra de la Consellería de Educación por revelación de datos personales de salud.

    Responder
  18. 48

    purpura9

    Enhorabuena por tu trabajo y por tu iniciativa. Yo trabajo en una empresa de seguridad informática y veo todos los días una falta de conocimiento y de interés amplia por parte de muchas empresas. Veo que también pasa con las administraciones públicas, por supuesto. En lugar de reconocer su error casi te llaman hacker y entrometido. Como dice un comentario anterior, esto sólo puede pasar en España. �nimo y sigue como hasta ahora!

    Responder
  19. 47

    Alejandro Valdezate

    Pablo, aunque en base tendrías razón, date cuenta de que el presupuesto de la admon publica sale de ti y de mí, y si le recortas presupuesto a cualquier organismo público tendrán la excusa perfecta para funcionar peor.

    Responder
  20. 46

    Pablo Rodríguez

    Creo que sería muchísimo más fácil y demostrarían muchísima más celeridad, si las Administraciones públicas fuesen sancionadas económicamente y no sólo amonestadas.

    Responder
  21. 45

    ciudadano

    En relación al Esquema Nacional de seguridad que comenta xavi:

    Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (BOE 29 de enero de 2010)

    Disposición adicional cuarta. Modificación del Reglamento de desarrollo de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.
    Se modifica la letra b) del apartado 5 del artículo 81 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal aprobado por Real Decreto 1720/2007, de 21 de diciembre, que pasa a tener la siguiente redacción:
    «b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.»

    En la redacción anterior decía: «b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.». Por lo tanto se equipara en cuanto a niveles de seguridad exigible a ficheros con datos especialmente protegidos en la LOPD a los que hace referencia el apartado 5 del art. 81 del Reglamento (datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual) a los ficheros tanto automatizados como no automatizados (ahora bastará con cumplir el nivel básico de seguridad en ambos casos).
    Y yo me pregunto: ¿tiene algún sentido rebajar la protección de datos objetivamente sensibles con el argumento de que los datos “no tienen relación con su finalidadâ€? pero son “accesoriosâ€??¿Y si no tienen relación con su finalidad, no es ello en sí mismo una vulneración del principio de calidad de datos que pretende preservar la propia LOPD?:
    “Ley Orgánica 15/1999, de 13 de diciembre
    Artículo 4. Calidad de los datos.
    1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.â€?
    Y me sigo preguntando:
    ¿Dicha modificación afecta únicamente a los ficheros de las administraciones públicas incluídas en el ámbito de aplicación del art. 3 del Real Decreto 3/2010 (o sea las del artículo 2 de la Ley 11/2007, de 22 de junio de acceso electrónico de los ciudadanos a los Servicios Públicos), o también a los ficheros privados?
    ¿no es esto muy, muy, muy raro?

    Responder
  22. 44

    xavi

    Hola Samuel, te felicito por tu actuación.
    Trabajo en la administración pública y se lo lento que va todo para resolver cualquier incidente. De todas formas, se acaba de publicar el Esquema Nacional de Seguridad que si se pone en práctica (?) limitará en gran medida todos estos problemas para la administración pública aunque el ENS, al igual que la LOPD no incluye sanciones por incumplimiento a la administración, pero a los técnicos nos sirve como justificación para que se tomen las medidas adecuadas.

    Un saludo

    Responder
  23. 43

    Samuel Parra

    Hola Paco. Me identifico plenamente contigo: nadie nos escucha ni nos toman en serio hasta que tenemos que poner el asunto en conocimiento de organismos competentes o hasta que algún adolescente con imaginación se hubiera puesto a liarla por ese sistema, entonces sí que se habrían tomado en serio el problema; es habitual en este pais no adoptar las medidas de seguridad ANTES de que suceda el accidente incluso habiéndose advertido a sus responsables :(

    Responder
  24. 42

    Paco

    Voy a contar un caso similar ocurrido en Andalucía. Trabajo para la Consejería de Educación y, por un simple error de un compañero, caí en la cuenta de que el sistema permitía usar la misma expresión como usuario y contraseña. El único requisito exigido en ambas es que contuviesen caracteres alfabéticos y numéricos. Por entonces estábmos a finales de 2007. Señalar también que la aplicación es accesible desde cualquier ordenador a través de internet y no sólo en la intranet corporativa.

    El paso siguiente era obvio: coger un nombre, añadirle dos cifras del año de nacimiento y usar la misma expresión como user y pass (pepe60-pepe60, carmen61-carmen61,….). Así, con cinco o seis nombres comunes combinados con los años de nacimiento de gente en activo por su edad (50-85) se podía acceder a docenas de cuentas, desde un maestro de primaria a un jefe de negociado, pasando por directores de institutos, psicólogos, etc. Por ejemplo, como maestro podía haber modificado todas las notas de ese colegio, como director de instituto podía haber dado de baja a todo el alumnado, como psicólogo podía acceder a datos médicos y psiquicos de multitud de chavales con problemas,… Finalmente accedí a la cuenta ¡de la persona encargada de asignar los distintos perfiles! con lo que yo me podía asignar privilegios de jefe de negociado e incluso de delegado provincial.

    No voy a extendeme mucho en lo siguiente.

    Notifiqué la incidencia a todos mis superiores incluida la delegada provincial en persona, por teléfono, por escrito y personalmente. Todo ello acompañado con sus correspondientes capturas de pantalla y datos de cuentas accesibles.

    Y aquí llega lo que realmente me jodió: prácticamente todos escurrían el bulto culpando a los usuarios de la poca fortaleza de las contraseñas. Sin eludir la responsabilidad de cada usuario, intenté por todos los medios argumentarles que el responsable último y principal de ese fallo de seguridad es quien diseña un sistema que permite esas contraseñas.

    Ante las largas que me daban y que no se tomaban medidas, presenté una queja ante el Defensor del Pueblo Andaluz, admitida a trámite en abril de 2008.

    Tras un año de requerimientos, la Consejería se dignó contestarle al Defensor en marzo de 2009 con explicaciones tales como:

    – “Todos los empleados quedarán registrados…”

    Y LA NIEVE ES FRÃ?A Y EL AGUA MOJA.

    – “…serán responsables de mantener su confidencialidad y asegurar su correcto uso.”

    OTRA OBVIEDAD

    – “Está siendo distribuida una Guía de buenas prácticas para la gestión de contraseñas…”

    A MÃ? ME LLEGÓ COMO SEIS MESES MÃ?S TARDE, CUANDO POR FIN SE HABÃ?A SOLUCIONADO EL PROBLEMA.

    – “Se está preparando la edición del libro Guía de Protección de Datos de Carácter Personal para los Centros de Enseñanza…”

    ESTE NO RECUERDO HABERLO VISTO.

    – “Se vienen realizando cursos de jornadas de concienciación en materia de Protección de Datos entre los empleados.”

    DE ESTOS SÃ? ESTOY SEGURO, NUNCA TUVE NOTICIAS DE ELLOS.

    – “Existe un Plan Formativo en formato e-learning sobre Protección de Datos…”

    ME ENTERÉ DE ELLO POR ESTA RESPUESTA…

    POR FIN, CASI AL FINAL, APARECE LO SIGUIENTE:

    “Consciente de su responsabilidad en la adopción de buenas prácticas de seguridad en el desarrollo de (sic) sistema de información, y en línea con lo establecido el (sic) Plan Director de Seguridad, la Consejería está recopilando requisitos para modificar el código de la aplicación en sus módulos de aprovisionamiento, autentificación, autorización y registro de actividad de usuarios. Las mejoras que se tiene previsto implementar incluyen, entre otras, las siguientes:
    – Chequeos de robustez
    – Caducidad (nueve meses)
    – Histórico de contraseñas: no se podrá usar una de las últimas ya usadas”

    Por fin.

    Aún así, en esa fecha, tras más de año y medio de mi primera comunicación, las cosas seguían exactamente igual y cualquier adolescente con un poco de tiempo libre y una simple pizca de imaginación podía haber regalado un aprobado general en varios institutos andaluces.

    A finales de 2009, por fin, ya se han implementado dichas medidas y no es posible usar el nombre de usuario como contraseña. Por ello, ya puedo decirlo tranquilamente, porque hasta entonces me abstuve lógicamente de comentarlo a gente que no fuesen responsables de los servicios.

    En definitiva, durante años, miles de datos personales de los chavales andaluces han estado disponibles para cualquiera con una conexión a internet y desde mi primera comunicación han tardado dos años en solucionar el problema. Y no sólo eso, sino que nadie se molestó en avisar a aquellos cuyas cuentas estaban comprometidas. Al principio localicé a algunos y les comuniqué el hecho, ante su sorpresa, pero no podía pasarme el día colgado de un teléfono explicando a desconocidos que había entrado en su cuenta.

    Por último, no espero agradecimiento, pues entiendo que era mi obligación. Pero aún estoy esperando, al menos, una disculpa.

    Responder
  25. Pingback: Un fallo de seguridad compromete los datos de millones de españoles (meneame) | BlogUniverso

  26. 41

    Otro ingeniero

    Da miedo.
    Habría que denunciar. Lo que no sé entonces es para qué utilizan entonces los certificados digitales.

    Responder
  27. 40

    Samuel Parra

    Ciudadano: una excelente apreciación y deduzco que no ha surgido ni hoy ni ayer, sino que ya lo tenias meditado de antes. En efecto estoy observando Red Trabaja; esto que me has contado no lo había tenido en cuenta, pero ¿qué opinas tú eso de que sólo con saber el DNI y el teléfono de una persona se pueda acceder, por ejemplo, a conocer lo que cobra cada mes de paro y a qué cuenta corriente se lo ingresan? Desde Red Trabaja es posible ;) ¿denuncio también esto o me tomarán por un pesado obsesionado? ;)

    Responder
  28. 39

    ciudadano

    Samuel:

    ¿Has investigado el sistema del SPEE red trabaja?
    A simple vista permite darte de alta 1 o varios currículums sin ningún tipo de autenticación desde la propia web. Vamos, que se puede dar de alta datos ficiticios de otras personas simplemente con contenidos que no pasan ningún tipo de filtro inicial, al menos. Y, para mí lo peor es que desde una página web del SEPE se ofrece un modo de intermediar paralelo al que gestionan los SPE autonómicos competentes y que entra en competencia con los mismos, que se inspira en los utilizados por las bolsas de empleo virtuales privadas (Infojobs, monster…) y que adolece de los mismos defectos que éstas desde la óptica de un servicio público de empleo, que:

    1.- debe servir al cumplimiento de los fines del sistema nacional de empleo: principio de igualdad en el acceso al empleo y no discriminación; asegurar la unidad del mercado de trabajo en el territorio español (art. 6.1.c y f y de la Ley Básica de Empleo) (también art. 22.2 LBE: principio básicos de la intermediación de los servicios públicos de empleo). Con esta red se favorece con recursos públicos el aumento de las oportunidades de aquellos demandantes más dotados para el uso de la autocandidatura en detrimento de los menos dotados (que suelen ser los que tienen mayores dificultades de inserción laboral).
    2- debe estar inspirado en los principios de organización y funcionamiento de dicho Sistema Nacional de Empleo: Transparencia en el funcionamiento del mercado de trabajo, teniendo en cuenta la integración, compatibilidad y coordinación de los sistemas de información (art. .8.2 LBE); atención personalizada y especializada a demandantes de empleo y a empresas (art. 8.4 LBE). En el alta del usuario y elaboración de la autocandidatura y posterior inscripción en las ofertas no se puede garantizar la transparencia y mucho menos la integración con las ofertas “SISPEâ€?: en lugar de personas y empresas “verificadasâ€? se gestionan “usuarios virtualesâ€? cuyos datos identificativos no se contrastan de ninguna manera.
    3.-No debe renunciar a la función de Intervención en los diferentes subprocesos que forman parte de la intermediación laboral: (art. 22.3 LBE: “Con el fín de asegurar el cumplimiento de los citados principios, los servicios públicos de empleo garantizarán que el proceso específico de selección y casación entre oferta de trabajo y demanda de empleo corresponde , con carácter general, al servicio público de empleo y a las agencias de colocación debidamente autorizadasâ€?).

    Responder
  29. 38

    AB

    Me dejas boquiabierto Samuel. Mil gracias por esto.

    Responder
  30. 37

    Otro ingeniero

    De vergüenza. Especialmente las justificaciones tan peregrinas que dan. Ya sabes, “como tienes página web”, eres un experto informático.
    ¿Soy el único al que esto recuerda sospechosamente al “gran crackeo” que hicieron de los resultados del ine… accediendo directamente a los pdf unos días antes? También dijeron que habían atacado al servidor…
    Resulta absurdo considerar que es “intrusión informática” leer un archivo que publicaron ellos en la web, pero ¿hay jurisprudencia al respecto, o realmente presentar tal acusación?

    Andrés, es interesante lo que comentas del uso de tu DNI. Yo diría que si acerté con tu DNI generando una lista de números, no estaría haciendo uso de tu dato personal, al contrario que si lo tomara sabiendo que es tu dni. ¿Qué opináis los demás?

    Lo que sí tengo claro es que la lista de números que sacó Samuel no fue del 0000001 al 0000010, que corresponden a Franco y al rey Juan Carlos respectivamente. No sé si los del rango están sin asignar, o pertenecen a otros miembros de la Casa Real, pero en cualquiera de los casos, veo improbable que estuvieran inscritos en el INEM ;-)

    Responder
  31. 36

    ayudawindows7.com

    Desde mi punto de vista que trabajo para la administracion el mayor problema es la falta de compromiso que empresas externas tienen para con los trabajos que realizan, si la persona que forma parte de la organizacion hace una cosa se compromete porque sabe que mañana tendra que mantenerla el, pero claro cuando la organizacion crece, entre los sacacuartos y los parasitos puestos a dedo… pasan este tipo de cosas

    Responder
  32. 35

    Hugo

    feanorknd dijo:

    A Andrés…
    Hacer un script bash o “programitaâ€? y dejarlo corriendo para vía GET, extraer de la web pública datos confidenciales que supuestamente no deberían ser mostrados….
    NO IMPLICA:
    – hacking
    – vulnerar medidas de seguridad
    – introducirse en sistemas de manera no legítima
    – cracking
    – ningun tipo de ataque… una petición GET a un servidor web para unicamente extraer datos no puede ser considerado un ataque…. para eso están los servidores web, para que tú le hagas un GET y ellos te devuelvan datos….. si la plataforma falla al hacer el GET, no es responsabilidad del visitante, que ya verá si documenta dicho fallo al webmaster o no.

    Efectivamente. El problema es que los jueces no entienden esta parte. Y muchos “técnicos” tampoco lo entienden o se hacen los locos y no quieren entenderlo. Si yo empleo el protocolo HTTP siguiendo las RFC’s y el servidor que recibe la petición lícita revienta o le da por devolverme datos que no debiera, no es problema mio. Entre esto y un ataque donde se requieren conocimientos especializados y mala leche, hay un abismo. No es lo mismo descubir un problema de gestión de memoria cuya explotación requiere de depuración y avanzados conocimientos de seguridad, que enviar una petición HTTP (GET, POST, o lo que sea) y que el servidor devuelva lo que no debe… Ese es un problema de diseño de alto nivel, facilmente detectable en cualquier auditoría e injustificable que se encuentre en un servicio web de esas características. Lo que debería hacer las AAPP afectadas es tomarse en serio la seguridad, cosa que a dia de hoy no hacen. Llevo más de 15 años auditando sistemas y sigo viendo como suceden estas cosas y otras peores que no salen en los periódicos.

    ¿Os preocupa que se pueda acceder a información de ciudadanos? Probad a investigar sobre el DNIe y lo que se puede hacer con él o con el de un PC comprometido… 

    Un saludo,

    Responder
  33. Pingback: Un fallo de seguridad compromete los datos de millones de españoles « Seguridad en internet

  34. 34

    Samuel Parra

    David González Calleja dijo:

    Enhorabuena por la resolución. Los argumentos del SEPE son inauditos, para enmarcar.
    Leí ayer la noticia en El Mundo. Seguro que te ha gustado que la publicaran, pero ¿te ha gustado también cómo la han publicado?
    Un saludo.

    Yo le habría dado otro enfoque, pero no soy periodista ;)

    Responder
  35. 33

    Samuel Parra

    pepe dijo:

    Lo peor del caso es que a las administraciones publicas no les afecta como a los ciudadanos y pequeñas empresas las resoluciones de la agencia de protección de datos. ¿Va a haber alguna dimisión?, ¿alguien lo va a pagar de su bolsillo? ¿Quien hizo la pagina web, probablemente hijo de algún alto gerifalte, va a pagar por su error de programación?.
    Te voy a contar un caso relacionado, también relativo a la comunidad de murcia, y que me afecta a mi personalmente.
    Tengo un hotel y tengo que enviar mis precios también por Internet. Las claves de acceso son el dni-cif y el numero de registro que tenemos en la comunidad. Estos son datos fáciles de conseguir, en la propia pagina de reservas online de la comunidad podemos sacar estos dos datos. Yo mismo hice la prueba y comprobé que podía modificar los precios de cualquier hotel de la región. Lo he puesto en conocimiento de la consejería varias veces, y se hacen la callada por respuesta.
    Que me queda, denunciarlos ante la AGPD y meterme yo en follones legales. No gracias.

    Sí Pepe, y en la Administración hay también muchos servicios que funcionan así, y seguirán funcionando hasta que pase algo con la información o alguien lo denuncie.

    Responder
  36. 32

    Samuel Parra

    Andrés dijo:

    samuel, no habia leido tu frase final de -â€?A día de hoy, el problema ya ha sido reparado y se ha modificado la forma de acceso al sistema. Y NO, no dejé ningún programa varios días para obtener toda la información del SPEE, es una advertencia/broma al lector para sensibilizarlo con el problema: no lo hice pero cualquiera podría haberlo hechoâ€?-. La pones en letrita tan clarita que parce que la has añadido después… más para solventar el problema de reconocer que te has hackeado al SPEE. Así que, para recabar los números no dejaste el programita varios días generando númeritos de DNI, es una “licencia literariaâ€? (o.. no, te basto con tenerlo puesto unas horas para recoger datos de varios dnis entre una franja determinada de números… para verificar que el “agujeroâ€? estaba; utilizar los mismos para entrar en el sistema, conocer la información “privadaâ€? de esas personas, a las que igual no les hace (no nos hace) gracia que alguien acceda a la misma).

    Los que me conocen saben perfectamente que no me dedico a asaltar ninguna base de datos. A la pregunta ¿cómo obtuve los DNIs válidos para probar el fallo y demostrarlo? Si te lees la resolución lo verás claro, pero te lo digo yo y lo pruebas tú mismo: vete a la dirección que indicaba, a la que enlazan las palabras “una vez allí” del artículo principal; ahora prueba a meter un DNI con la letra, y pueden pasar dos cosas: a) que te diga “el identificador de demanda no es válido”, o b) que no te de ningún error y pases a la siguiente ventana. Si ocurre lo segundo, ya tienes un DNI válido. Lo que hice para la “prueba de concepto” fue generar 10 números de DNI secuenciales, digamos, entre el 0000001 y el 0000010, luego pones esos DNIs donde te he dicho y si no sale error, pues ya tienes DNIs válido para el SPEE. Si lees la resolución salen todos los detalles sobre este asunto.

    Responder
  37. 31

    feanorknd

    A Andrés…
    Hacer un script bash o “programita” y dejarlo corriendo para vía GET, extraer de la web pública datos confidenciales que supuestamente no deberían ser mostrados….
    NO IMPLICA:
    – hacking
    – vulnerar medidas de seguridad
    – introducirse en sistemas de manera no legítima
    – cracking
    – ningun tipo de ataque… una petición GET a un servidor web para unicamente extraer datos no puede ser considerado un ataque…. para eso están los servidores web, para que tú le hagas un GET y ellos te devuelvan datos….. si la plataforma falla al hacer el GET, no es responsabilidad del visitante, que ya verá si documenta dicho fallo al webmaster o no.

    Responder
  38. 30

    Andrés

    samuel, no habia leido tu frase final de -“A día de hoy, el problema ya ha sido reparado y se ha modificado la forma de acceso al sistema. Y NO, no dejé ningún programa varios días para obtener toda la información del SPEE, es una advertencia/broma al lector para sensibilizarlo con el problema: no lo hice pero cualquiera podría haberlo hecho”-. La pones en letrita tan clarita que parce que la has añadido después… más para solventar el problema de reconocer que te has hackeado al SPEE. Así que, para recabar los números no dejaste el programita varios días generando númeritos de DNI, es una “licencia literaria” (o.. no, te basto con tenerlo puesto unas horas para recoger datos de varios dnis entre una franja determinada de números… para verificar que el “agujero” estaba; utilizar los mismos para entrar en el sistema, conocer la información “privada” de esas personas, a las que igual no les hace (no nos hace) gracia que alguien acceda a la misma).

    Responder
  39. 29

    feanorknd

    Buenas… he estado algunos años trabajando en el area tecnica de empresas de hosting. Solo decir que hace muy bien en denunciar publicamente y exponer tal cual ha hecho este caso concreto. Puedo asegurar que es increible la cantidad de ineptos e irresponsables que trabajan en la actualidad para algunos organismos públicos, incumpliendo premisas básicas de seguridad, normativas RFC (en servidores de correo, por ejemplo) y algunos otros casos…. me parece increible y bochornoso. Exponerlo publicamente con todo lujo de detalles es el único modo viable de intentar “contrarrestar” ese pasotismo e ineficacia existente y luchar contra ella. Visualizar una URL y averiguar que unicamente cambiando una variable pasada via POST permite acceder a estos datos no es algo tan DIFICIL como quieren hacer creer: mas bien lo considero una estupidez digna de cualquier chavalillo con unos conocimientos medios de informatica…… qué alguien explote ésto sin que se haga público es cuestión de tiempo, si es que no lo han hecho ya. Cabe decir, que la inyección en GETs a servidores web es uno de los métodos más usados para Hacking o defacing de páginas web, y no es para nada raro, especial o complicado, como esos ineptos quieren hacer creer…. mas bien, es mucho más complicado intentar liar la perdiz y no solucionar el problema, que hacerlo en un pispas, introduciendo medidas de control, como variables de sesión que identifiquen el DNI demandante.
    Me parece absurdo que cosas como estas ocurran cuando la resolución del problema debería apoyarse unicamente en un email enviado al webmaster….
    Repito: me parece que hay mucha incompetencia profesional en este sector de la informática en España, y felicito a esta web por denunciarlo tan claramente.
    Un saludo.

    Responder
  40. 28

    Un ingeniero en paro.

    Hola. Yo soy un Ingeniero en Informática en paro, llevo varios años sin encontrar trabajo gracias al gran intrusismo que hay en el sector y te puedo decir que eso no es un error de seguridad, eso es una negligencia en toda regla. Es un error de principiante o de aficionado. No te preocupes que no has modificado fuentes ni has hecho ninguna labor de alta ingeniería que no pueda hacer cualquier crio de 16 años que haya leído un par de revistas de informática. Quizás para los que desarrollaron el sistema o para los que dirigen el departamento eso sea algo muy avanzado, demostrando la ignorancia y la incompetencia del personal que se encargó de hacer y de trabajar con ese sistema. Realmente negligencias de ese tipo en lugares como la administración con los recursos que tienen deberían de estar fuertemente penadas, no es lo mismo un aficionado que tiene una página personal o una pequeña empresa que no tiene recursos para pagar a un buen profesional, que una administración pública.

    Responder
  41. 27

    deincognito

    Samuel,
    Buena iniciativa.
    Para tu bienestar económico, creo que has tenido suerte.
    Hay fallos de seguridad en los servicios de banca electrónica de bancos y cajas de ahorro que han costado miles de euros a sus clientes, y que tras ser identificados siguen sin ser resueltos…
    Salu2

    Responder
  42. 26

    j0n3

    Es responsabilidad de los desarrolladores aportar ese nivel de seguridad… que no escurran el bulto.

    Responder
  43. 25

    andrés

    Samuel, menuda aventura la tuya. Siempre velando por el interés de los demás. Bueno… en este caso, más que el interés de los demás, parace una actuación de satisfacción personal.
    En teoría y por los datos que nos das, parece que sin comerlo ni beberlo te encontraste un fallo de seguridad, actuaste en plan “hacking ético” (sin que nadie te lo pidiese o encargase), por mero interés profesional, comuniscaste el error por activa y pasiva, pero nadie te hizo caso. Y, no te dejaron más remedio que acudir a la AEPD.
    Una muy bonita historia.. pero, no hay ninguna otra intención?. Cuando cuentas que pediste una prestación, que luego iniciaste un procedimiento judicial contra el SPEE, no te parece que suena a “vedetta”.
    Hombre, utilizar un programa para vulnerar DNI, debe ser interesante, muy interesante, pero más que buscar el indicar la existencia de un fallo de seguridad, has acudido a la AEPD en busca de revancha, vendetta, o como quieras llamarlo.
    Utilizar un programa para generar DNI, con vistas a (y cito) -“inmediatamente hice un programita que deje funcionando durante varios días probando todas las combinaciones de posibles números de DNI para hacerme con una base de datos de ciudadanos españoles importante”- es algo un poco ilegal, más en tema de protección de datos, dado que has realizado un tratamiento no autorizado de datos (por lo menos el de las personas que presentaste como prueba, y entendiendo por tratamiento lo que dice la LOPD y el RDLOPD), sin conocimiento de su titular, recabados de fuentes no accesibles al público. Si a mi me comunica la AEPD que has utilizado mi DNI, vamos… espera el inicio de un procedimiento sancionador (claro, que como actuaste como persona física.. te libras, verdad .;-D).
    Pero lo que más me intriga es que el SPEE no haya incoado un procedimiento contra ti por ataque a una aplicación informática y servidor, utilización de ingenieria inversa y tratamiento no autorizado de datos, más cuando…les das las pruebas de lo que has hecho.
    Espero Samuel que no te pillen, y que los enemigos que te vas haciendo por el camino no busquen nunca un fallo de seguridad en esta página, ni en la de la empresa en la que trabajes, ni se publiquen datos de usuarios, datos de personas que comentamos.. Ya sabes lo que se dice -“arrieros somos y en el camino nos encontraremos”-.
    Mientras tanto, sigue investigando, sigue encontrando y denunciando… sigue con tu labnor de “Robin Samuel Parra” en la jungla de la LOPD.
    Un saludo

    Responder
  44. 24

    David González Calleja

    Enhorabuena por la resolución. Los argumentos del SEPE son inauditos, para enmarcar.

    Leí ayer la noticia en El Mundo. Seguro que te ha gustado que la publicaran, pero ¿te ha gustado también cómo la han publicado?

    Un saludo.

    Responder
  45. Pingback: Un fallo de seguridad compromete los datos de millones de españoles

  46. 23

    pepe

    Lo peor del caso es que a las administraciones publicas no les afecta como a los ciudadanos y pequeñas empresas las resoluciones de la agencia de protección de datos. ¿Va a haber alguna dimisión?, ¿alguien lo va a pagar de su bolsillo? ¿Quien hizo la pagina web, probablemente hijo de algún alto gerifalte, va a pagar por su error de programación?.
    Te voy a contar un caso relacionado, también relativo a la comunidad de murcia, y que me afecta a mi personalmente.
    Tengo un hotel y tengo que enviar mis precios también por Internet. Las claves de acceso son el dni-cif y el numero de registro que tenemos en la comunidad. Estos son datos fáciles de conseguir, en la propia pagina de reservas online de la comunidad podemos sacar estos dos datos. Yo mismo hice la prueba y comprobé que podía modificar los precios de cualquier hotel de la región. Lo he puesto en conocimiento de la consejería varias veces, y se hacen la callada por respuesta.
    Que me queda, denunciarlos ante la AGPD y meterme yo en follones legales. No gracias.

    Responder
  47. 22

    Kialaya

    Quisiera puntualizar que no es mi deseo molestar a nadie con lo de que “el que dice que eso es un hackeo no es por nada pero de informática mucha idea no tiene”. Yo misma no tengo grandes conocimientos de informática, programación ni redes, muchísimo menos para “hackear” ningún sistema pero lo que describe este señor en su blog es sencillamente sustituir unos números por otros en una dirección URL del navegador. Dudo que eso se pueda considerar “hackear” un sistema de cualquiera de las maneras. Y el programita que hizo sólo automatizaba dicho proceso por lo que le he entendido, no hacía nada más realmente. Releyendo mi anterior comentario he querido mencionar esto antes de que a alguien le molestase. :-)

    Responder
  48. 21

    Kialaya

    Vergonzosa me parece la falta de interés de la administración por subsanar un claro fallo de seguridad del tamaño de la Antártida. Ya me parece mal que existiera ese fallo a priori, puesto que el gobierno y la administración pública debería de contar con profesionales que supieran evitarlos, pero luego encima no querer dar al brazo a torcer y reconocer que han metido la pata y sencillamente arreglarlo me parece absurdo. Así nos va, un año para arreglar un fallo de seguridad y quieren arreglar la crisis en un pispas? Pues yo te agradezco el que “hackearas o atacaras” como dicen (anda que el que dice que eso es un hackeo no es por nada pero de informática mucha idea no tiene) y denunciaras. Si existiera más gente como tu velando por la privacidad de los datos de los demás, mejor nos iría. No entiendo como nadie te puede criticar por ello y además usando como has hecho los cauces legales y no publicando hasta que se ha dictado sentencia. Enhorabuena de mi parte y gracias.

    Responder
  49. Pingback: Un fallo de seguridad compromete los datos de millones de españoles | El Noticiero

  50. 20

    Samuel Parra

    David dijo:

    Hola:
    Jaja, Samuel, eres un hacker, menuda aventura.
    Si lo que para las empresas privadas son sanciones para las adminsitraciones fuesen indemnizaciones para los afectados por el mal tratamiento de los datos, otro gallo cantaría…
    Un saludo.

    Ahí está, le has “dao” en el clavo ;)

    Responder
  51. 19

    Samuel Parra

    Anubys dijo:

    Impresionante, se podía acceder a los dni de cualquier modificando la sentencia enviada por get paso de comentar lo que me parecen los programadores de la pagina que me da algo.
    Solo comentar que las excusas para defenderse son de chiste, esto solo pasa en España
    Muy bueno el descubrimiento, y gracias por publicarlo, solo aquellos paranoicos de la seguridad entendemos lo que has echo.

    Gracias por el apoyo :) por aquí otro paranoico de la seguridad y privacidad.

    Responder
  52. 18

    Samuel Parra

    Alejandro Valdezate dijo:

    Por cierto, he de confesar que hace 2 años también vi dicho fallo pero por pura vaguería no “juguéâ€? con el GET, aunque vaticinaba muy buenos resultados. Me llamó la atención que los únicos datos fueran una fecha y un dni por lo vulnerable de ese par de items pero de ahí no pasé. Gracias por haber desarrollado la idea y por haberte tomado la molestia de denunciarlo. Parece mentira que después de la puesta en marcha de la ley 11/2007 pasen cosas tan tontas como esta.

    Pues todavía hay otros servicios que funcionan igual: DNI+fecha como mecanismo de autentificación… Seguramente si no hubiera denunciado nada el fallo seguiría ahí…

    Responder
  53. 17

    Samuel Parra

    Alejandro Valdezate dijo:

    Ignorando el primer comentario (que podría ser perfectamente borrado sin que se perdiera nada importante), hay una cosa que no acabo de comprender del todo. Si la deficiencia la mostraba el sistema nacional de empleo ¿por qué la denuncia iba contra el sistema de empleo de Mucria? Me imagino que es porque ese es el organismo con el que te diste de alta, pero ellos a su vez te remitían al sistema global.
    Saludos,

    Échale un vistazo a la Resolución. En realidad la parte de denuncia al SEF de Murcia es por otras cuestiones, en concreto por no poner cláusulas informativas en algunos formularios.
    La parte del fallo de seguridad (el asunto importante en la denuncia) va contra el SPEE :) .

    Responder
  54. 16

    Anubys

    Impresionante, se podía acceder a los dni de cualquier modificando la sentencia enviada por get ;) paso de comentar lo que me parecen los programadores de la pagina que me da algo.

    Solo comentar que las excusas para defenderse son de chiste, esto solo pasa en España ;)

    Muy bueno el descubrimiento, y gracias por publicarlo, solo aquellos paranoicos de la seguridad entendemos lo que has echo.

    Responder
  55. 15

    Samuel Parra

    Anonimo dijo:

    “Inmediatamente hice un programita que dejé funcionando durante varios días probando todas las combinaciones posibles de números de DNIs para hacerme con una base de datos de ciudadanos españoles importante, porque NO sólo figuran los datos de las personas que ahora mismo estén en el paro, sino los de cualquiera que alguna vez lo hayan estado o se hayan inscrito a lo que era el INEM.â€?
    Perdona, tu justiciero al que debemos todos dar las gracias por ayudar a estar más seguro, ¿cual era el motivo para dejar la aplicación esta funcionando varios dias?
    Vale que el sistema sea pesimo, pero el que se merece una denuncia eres tu por hacer un ataque contra un sistema público con el único objetivo de publicarlo en tu blog.
    Enhorabuena campeón.

    Hombre “Anónimo”, que lo de “descargarme” la base de datos era una broma para picar al lector ;) . Broma habitual en mis artículos si les echas un vistazo (como esa otra que facilito una base de datos con todos los DNIs, y varios más). Son guiños a mis lectores habituales.
    Y respecto a que me merezco una denuncia por atacar un sistema público con el único objetivo de publicarlo en mi blog, pues si así quieres verlo, muy bien. Creo no obstante, que el resto de personas (sobre todo los que conocen este blog) no verán ese objetivo (lo podría haber publicado cuando lo descubrí y me he esperado hasta ahora). Si lo denuncié fue sobre todo para que lo arreglasen, y por supuesto, pensaba contarlo en mi blog cuando llegase el momento, que para eso escribo en él (de igual forma que también escribo cuando me desestiman otras denuncias)… pero de ahí a decir que voy asaltando los sistemas de la Administración para luego venir a contarlo aquí…

    Responder
  56. 14

    Alejandro Valdezate

    Por cierto, he de confesar que hace 2 años también vi dicho fallo pero por pura vaguería no “jugué” con el GET, aunque vaticinaba muy buenos resultados. Me llamó la atención que los únicos datos fueran una fecha y un dni por lo vulnerable de ese par de items pero de ahí no pasé. Gracias por haber desarrollado la idea y por haberte tomado la molestia de denunciarlo. Parece mentira que después de la puesta en marcha de la ley 11/2007 pasen cosas tan tontas como esta.

    Responder
  57. 13

    Alejandro Valdezate

    Ignorando el primer comentario (que podría ser perfectamente borrado sin que se perdiera nada importante), hay una cosa que no acabo de comprender del todo. Si la deficiencia la mostraba el sistema nacional de empleo ¿por qué la denuncia iba contra el sistema de empleo de Mucria? Me imagino que es porque ese es el organismo con el que te diste de alta, pero ellos a su vez te remitían al sistema global.

    Saludos,

    Responder
  58. 12

    David

    Hola:

    Jaja, Samuel, eres un hacker, menuda aventura.

    Si lo que para las empresas privadas son sanciones para las adminsitraciones fuesen indemnizaciones para los afectados por el mal tratamiento de los datos, otro gallo cantaría…

    Un saludo.

    Responder
  59. 11

    Anonimo

    “Inmediatamente hice un programita que dejé funcionando durante varios días probando todas las combinaciones posibles de números de DNIs para hacerme con una base de datos de ciudadanos españoles importante, porque NO sólo figuran los datos de las personas que ahora mismo estén en el paro, sino los de cualquiera que alguna vez lo hayan estado o se hayan inscrito a lo que era el INEM.”

    Perdona, tu justiciero al que debemos todos dar las gracias por ayudar a estar más seguro, ¿cual era el motivo para dejar la aplicación esta funcionando varios dias?

    Vale que el sistema sea pesimo, pero el que se merece una denuncia eres tu por hacer un ataque contra un sistema público con el único objetivo de publicarlo en tu blog.

    Enhorabuena campeón.

    Responder
  60. Pingback: joneame.net

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *