La web de la DGT permite conocer los sancionados por multas de tráfico
- Martes, Mayo 18, 2010, 22:40
- En primera persona
- 25 comentarios
La web de la Dirección General de Tráfico (DGT) tiene habilitado un sistema que permite obtener el resguardo de haber pagado una multa de tráfico. Sin embargo, la información que solicita la DGT para acceder a este documento es tan solo el “número de registro” (nada de certificados digitales o contraseñas), una cifra de unos pocos dígitos SECUENCIALES. El resguardo contiene, entre otros datos: nombre y apellidos, NIF, importe de la multa y número de expediente.
La Dirección General de Tráfico (DGT) no se caracteriza precisamente por su preocupación por tratar los datos personales de los ciudadano con unos mínimos de seguridad e intimidad: El sistema de consulta de puntos del carnet de conducir es ilegal, pero no lo van a cambiar.
Un lector anónimo alertaba en el foro de protección de datos sobre la existencia de un mecanismo, que a su juicio, podría vulnerar la Ley Orgánica de Protección de Datos (LOPD).
Tras una breve investigación constato que en efecto, lo que allí afirma es cierto y podría suponer claramente una vulneración de esta Ley Orgánica.
Veamos el problema:
Imaginemos que nos han puesto una multa de tráfico; gracias a la tecnología punta de la que gozamos en este país, desde la sede electrónica de la DGT podremos tramitar su pago.
Una vez finalizado el pago de la misma, se nos informa que podemos descargamos nuestro “duplicado de recibo de pago“, o sea, un resguardo de haber pagado la multa.
Para ello, debemos acudir a esta dirección: https://apl.dgt.es/WEB_Sanciones/jsp/recibo/introducirNumeroRecibo.jsf
Como es lógico, para acceder a nuestro propio resguardo -y no el del vecino- el sistema nos exige identificarnos ante la Administración, sin embargo no pensemos en complicados certificados electrónicos y complejas claves cuánticas, no, tan solo nos solicita el “número de registro”.
Este número de registro nos lo facilita la propia DGT cuando hemos terminado de pagar la multa de tráfico.
Hasta aquí todo va bien, el problema aparece cuando, sin necesidad de gozar de una inteligencia e imaginación titánica, leemos el número de registro que nos envía: 2010005000113***.
Cuando uno recibe ese número de registro y se le invita a introducirlo en esa casilla para obtener el resguardo del pago de la multa, es inevitable probar con un número inmediatamente anterior “a ver que pasa”. Y lo que pasa es que te descargas el resguardo de otra persona. Y entonces descubres que los 4 primeros dígitos hacen referencia al año, y que los últimos dígitos son secuenciales, desde el 000001 hasta el número que llegue según el número de multas de ese año.
El documento que obtenemos es silimar a este.
Este mecanismo es evidente que vulnera los artículos 9 y 10 de la LOPD, que establecen:
Artículo 9. Seguridad de los datos.
1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.
Artículo 10. Deber de secreto.
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal esten obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
A la hora de publicar esta información he sufrido un ligero dilema: ¿debía hacerlo público sin avisar a la DGT y darles un tiempo a “arreglarlo”? Esto fue lo que hice con este otro problema y sólo tardaron 15 meses en arreglarlo y porque medió una Resolución Sancionadora contra el organismo competente.
Sin embargo este caso es ligeramente diferente: ¿nos encontramos realmente ante un fallo de seguridad por una programación negligente o un código poco depurado? En mi opinión no. No nos encontramos ante un fallo de seguridad porque la DGT era y es plenamente consciente de su sistema de obtención de resguardos; de entre todas las posibilidades que tenían han optado por la que hemos visto, voluntariamente. No se requiere ningún mecanismo de intrusión, inyección, o cualesquiera otras técnicas propias de la seguridad informática: simplemente es introducir un número en una casilla que la DGT proporciona al efecto, número que no puede considerarse secreto ni aleatorio.
Por tanto no me veo en la obligación moral de ponerlo en conocimiento de la DGT porque ellos YA LO SABEN; además, teniendo en cuenta cómo (no) resolvieron este asunto no me merecen, desde el punto de vista de la protección de datos de carácter personal, ningún respeto ni condescendencia.
Este sistema de acceso a la información es muy similar a la de consulta de puntos de carnet de conducir (ya declarada ilegal) o al antiguo sistema de cesión de asientos vía web del Club de Fútbol Real Madrid, que solicitaba como nombre de usuario el número de socio y como contraseña los 4 últimos caracteres de su número de DNI (también sancionado por la Agencia Española de Protección de Datos en 2008).
Recibe estos articulos en tu email:
25 comentarios en “La web de la DGT permite conocer los sancionados por multas de tráfico”
Trackbacks
- La web de la DGT permite conocer los sancionados por multas de tráfico
- Twitter Trackbacks for La web de la DGT permite conocer los sancionados por multas de tráfico | Proteccion de Datos - Ley de Proteccion de Datos - LOPD [samuelparra.com] on Topsy.com
- La web de la DGT permite conocer los sancionados por multas de tráfico - apezz.com
- La web de la DGT permite conocer los sancionados por multas de tráfico | Ultimas noticias en ForoProvincias.Com
- La web de la DGT permite conocer los sancionados por multas de tráfico
- La DGT permite acceder a los datos del pago de las multas de otras personas « Tecnología en la Administración Pública
- BlogESfera.com
Cargando ...
Pues ya sabes el caso que te van a hacer con este artículo. El mismo que con el otro.
“Si le molesta ver los puntos de otro, mire para otro lado”
Esto huele a que el área de desarrollo de la DGI necesita formación inmediata en materia de protección de datos y seguridad de la información …porque no puedo creer que sean tan chapuzas a la hora de generar una contraseña de acceso. Sólo la ignorancia puede justificar semejante negligencia. Ahora la cuestión es como tomarán “tu oportunidad de mejora” porque si hay algo importante es aprender del error y solventarlo. Si de nuevo optan por una actitud arrogante,… algún día el susto será muy gordo porque el enemigo de verdad no avisa.
Así trabaja la Administración y así va el país. No pasan más cosas porque da la casualidad. Se deberían preocupar de los datos personales y confidenciales de los demás un poco más. Una vergüenza.
La verdad que funciona se pueden ver las multas sustituyendo los asteriscos por cualquier número. 2010005000113***
Bueno, bueno….¿tan dificil sería pedir tambien el dni? (como minimo vamos…)
A mí me pasó esto no hace más de 3 semanas!! Lo descubrí, pero no por la causa que tú dices, al parecer cuando elegí que me mandaran un correo con el resguardo, este correo contenía un enlace supuestamente con la dirección donde estaba mi resguardo en PDF y que sorpresa que al consultarlo no era mi resguardo si no el de otro, y me lo habían mandado a mi correo! Esto es increíble, tengo una pregunta ¿Es esto denunciable?¿Y en este caso merecería la pena?
Si alguien me puede responder se lo agradecería muchísimo, Un saludo.
Para los que me habéis escrito preguntando que cómo un ciudadano normal que no ha sido multado nunca podría conocer esa secuencia de números para introducir en ese formulario, decir que el “formato” y un ejemplo de número válido lo facilita la propia DGT es su página de ayuda: https://apl.dgt.es/IWPS/help/recibo.html
Por lo que aquí no se está revelando ninguna información que no aparezca ya en la propia página de la DGT.
Bueno, parece que te han escuchado y quitado la página. Estarán dandole de collejas a alguno
angel dijo:
Eso parece, ahora si entras sale este error:
Error de proceso JSP
Código de error HTTP: 404
Mensaje de error:JSPG0036E: No se ha podido encontrar el recurso /jsp/recibo/introducirNumeroRecibo.jsp
Causa principal:java.io.FileNotFoundException: JSPG0036E: No se ha podido encontrar el recurso /jsp/recibo/introducirNumeroRecibo.jsp at com.ibm.ws.jsp.webcontainerext.AbstractJSPExtensionProcessor.findWrapper(AbstractJSPExtensionProcessor.java:301)
(y sigue).
Nada mejor como una denuncia pública para que tarden 48 horas en solucionarlo… (espero)
Samuel Parra dijo:
Si es verdad que lo han quitado solo han tardado 19h desde que posteaste esto hasta que angel comenta que lo quitaron de la circulación…
Parece que en algo funciona la administración (quitando valoraciones aparte sobre la decisión inicial de poner eso así)
Vaya con los del tráfico, lo dejan ver todo
Sí Juan, lo cierto es que es elogiable la velocidad con la que han desactivado la posibilidad de explotar el asunto
Gracias a alertas y denuncias públicas como la tuya la Administración va actuando. Ahora lo deseable es que los miembros a cargo estén también formados y alertas. A ver si hacen también caso en esto.
Muchas gracias Samuel.
Y también gracias a Loserkid
podria alguien decirme donde puedo consultar las multas que he tenido en este año, a1º de alo tenia 14 puntos, el dia 7 me pusieron una multa por velocidad y me retiraron 2 puntos y ahora me notifican que me quedan 6 puntos, no me salen las cuenta
Por lo visto ahora han puesto otro campo más como necesario para sacar el duplicado.
QE PASA SI NO RECIBO LA NOIFICACION DE UNA MULTA …Y SI LA RECIBO Y NO LA PAGO QE PASA ? ALGUIEN ME PUEDE CONTESTAR , ESTOY SIN TRABAJO Y NO SE QE HACER ,GRASIAS.