BarcelonaEls titulars que afirmen que el Govern ha deixat al descobert les dades personals de tots els catalans que consten al cens a través de la web del referèndum són, com a mínim, alarmistes o exagerats. Es refereixen a la pàgina que calia consultar per saber on votar l’1 d’octubre -que, tot i la censura massiva encara es pot consultar a internet-, tot i que al final el cens universal la va convertir en innecessària. D’entrada, cal aclarir que en tot cas l’únic que s’hi podria aconseguir, amb esforç i prou coneixements tècnics, és una relació de codis postals, dates de naixement i fragments incomplets de números de DNI. Sense noms, ni adreces, ni altres dades personals.
La major part de notícies que acusen el Govern d’haver posat en perill les dades personals de més de cinc milions de ciutadans es basen en la recerca de Sergio Lopez, un informàtic que ha explicat a Twitter que cal “assumir” que els DNI, les dates de naixement i els codis postals de tots els ciutadans del cens “han estat compromesos” i “estan a disposició de qualsevol a internet”. Ell mateix ho explica tot en un fil de Twitter amb desenes de piulades.
Lopez, que reconeix que no és cap expert en seguretat informàtica, ha investigat a fons la web per saber on votar, pensada perquè es pogués duplicar si la tancaven -com va passar més d’un vegada-, de manera que no hagués de dependre d’una sola base de dades. Com ja va explicar aquest diari, era perillós incloure les dades de tot el cens dels ciutadans en un servidor que no estigués sota control directe del Govern, i per dificultar la previsible clausura de la pàgina calia allotjar-la a l’estranger. Per això el programador de la web va fer passar certes dades de cada ciutadà -els cinc últims números del DNI, la lletra, la data de naixement i el codi postal- per una operació matemàtica que donava com a resultat un codi hash únic. És aquest codi que es relacionava amb el col·legi corresponent a cada ciutadà. Tota aquesta informació, al seu torn, quedava xifrada al codi de la pròpia pàgina, de manera que fos possible duplicar-la si calia.
Xifratge “dèbil”
Lopez explica que, tot i aquestes precaucions, el xifratge és “dèbil” i es poden aconseguir les dades. Al·lega que si bé amb el seu ordinador trigaria 66 anys a aconseguir les de tot el cens, per obtenir les corresponents a un sol codi postal en té prou en dos dies i mig, o en poc més d’una hora si utilitza la capacitat de processament de la targeta gràfica. Si qui vol aconseguir les dades se’n surt, obté una sèrie de codis postals i dates de naixement vinculats a números de DNI als quals faltarien tres xifres. Assegura que per cada DNI hi hauria 45 combinacions possibles que, segons diu, es poden reduir a una quinzena o menys eliminant els números massa alts o massa baixos. En tot cas, no s’arriba a determinar cap número concret ni a vincular-lo amb cap nom, ni exposa cap manera per anar més enllà. Lopez, tot i això, considera “fonamental” que s’aturi la distribució de la web.
