Per què la web de l'1-O no ha deixat al descobert les dades de tot el cens

A tot estirar algú amb prou coneixements tècnics pot rascar una relació de codis postals, dates de naixement i fragments de DNI

Els titulars que afirmen que el Govern ha deixat al descobert les dades personals de tots els catalans que consten al cens a través de la web del referèndum són, com a mínim, alarmistes o exagerats. Es refereixen a la pàgina per saber on votar l'1 d'octubre -que, tot i la censura massiva, encara es pot consultar a molts llocs,  com ara aquí- i cal aclarir que l'únic que s'hi pot aconseguir, amb esforç i prou coneixements tècnics, és una relació de codis postals, dates de naixement i fragments de números de DNI. Sense noms, ni adreces, ni altres dades personals.

La major part de titulars que acusen el Govern d'haver posat en perill les dades personals de cinc milions de ciutadans es basen en la recerca de Sergio López, un informàtic que ha explicat a Twitter que cal "assumir" que els DNI, les dates de naixement i els codis postals de tots els ciutadans del cens "han sigut compromesos" i "estan a disposició de qualsevol a internet". Ell mateix ho explica tot en un fil de Twitter que es desplega a partir d'aquesta piulada:

López, que reconeix que no és cap expert en seguretat informàtica, ha investigat a fons la web per saber on votar, pensada perquè es pogués replicar si la tancaven -com ha passat més d'un vegada- de manera que no hagués de dependre d'una sola base de dades. Com ja va explicar aquest diari, era perillós incloure les dades de tot el cens dels ciutadans en un servidor que no estigués sota control directe del Govern, i per dificultar la previsible clausura de la pàgina calia allotjar-la a l'estranger. Per això el programador de la web va fer passar certes dades de cada ciutadà -els cinc últims números del DNI, la lletra, la data de naixement i el codi postal- per una operació matemàtica que donava com a resultat un codi únic. És aquest codi que relacionava amb el col·legi corresponent cada ciutadà. Tota aquesta informació quedava xifrada al codi de la mateixa pàgina, de manera que fos possible replicar-la, si calia.

López explica que, tot i aquestes precaucions, el xifratge és "dèbil" i es poden aconseguir les dades. Al·lega que si bé amb el seu ordinador trigaria 66 anys a aconseguir-les totes, per obtenir les corresponents a un sol codi postal en té prou amb dos dies i mig, o amb poc més d'una hora si utilitza la capacitat de processament de la targeta gràfica. Si qui vol aconseguir les dades se'n surt, obté una sèrie de codis postals i dates de naixement vinculats a números de DNI als quals faltarien tres xifres. Assegura que per a cada DNI hi hauria 45 combinacions possibles que, segons diu, es podrien reduir a una quinzena eliminant els números massa alts o massa baixos. En tot cas, no s'arriba a determinar cap número concret ni a vincular-lo amb cap nom, ni exposa cap manera per anar més enllà. López, tot i això, considera "fonamental" que s'aturi la distribució de la web.

EDICIÓ PAPER 15/12/2018

Consultar aquesta edició en PDF