El Portal de la Transparencia, público desde hace poco tiempo, ha sufrido fallos en su sistema de seguridad.
El Portal de la Transparencia ha sido el foco de multitud de informaciones en los informativos y en la prensa en general desde su inauguración hace una semana (lleva operativa desde el 10 de diciembre). Y lo que más ha trascendido son las escalofriantes cifras de los altos cargos del Ejecutivo. La inmensa mayoría de ellas superan al sueldo del Presidente del Gobierno y de sus Ministros. Pero el tema a tratar aquí, es que El Portal de la Transparencia ha sufrido un grave error de seguridad.
El fallo consiste en que cambiando al azar de una parte del enlace del resultado de una consulta, se podía acceder directamente a la identificación de otras consultas, de forma aleatoria. En estas consultas se podían encontrar datos como el nombre, apellidos, DNI, teléfono y el motivo de la consulta de los ciudadanos que depositaron sus datos en la web. El Portal de la Transparencia no verificaba los permisos para acceder a documentos ajenos, recibido el resultado de la consulta, a pesar la inclusión de protección mediante certificado digital o DNIe.
El Portal de la Transparencia proporciona hasta 530.000 registros accesibles de información sobre la estructura de la Administración General del Estado, sueldos de altos cargos, bienes inmuebles, contratos públicos, subvenciones y lo más importante, habilita a los ciudadanos para consultar información de temas públicos.
Para Samuel Parra, experto en privacidad, la gravedad del fallo radica en su sencillez para explotarlo, ya que no hace falta conocimientos avanzados de seguridad informática o utilizar programas informáticos. «Basta un navegador de Internet y un poco de imaginación para tener acceso a los cientos de peticiones de información que ya han presentado los ciudadanos».
La LOPD, en su art. 9 obliga a los responsables de los ficheros con datos personales a adoptar medidas técnicas necesarias para garantizar la seguridad de los datos y así, evitar su acceso no autorizado, por lo que según Samuel Parra «Dado que nos encontramos ante un fallo de seguridad que no supone quebrar ninguna medida de seguridad específica, ni la utilización de contraseñas ajenas, la falta de diligencia a la hora de diseñar el Portad de la Transparencia resulta manifiesto. La más básica de las auditorías de seguridad informática habría detectado el problema».
El Ministerio de Hacienda y Administraciones Públicas, responsable del desarrollo técnico del Portal de la Transparencia, ha comunicado que los técnicos responsables solucionaron el problema el pasado miércoles.
También puede interesarle:
- ¿Cómo será el Consejo de Transparencia y Protección de Datos de Andalucía?
- Propuesta de registro de condenados por abusos a menores
- Denuncia de STAJ Andalucía ante la AEPD
- El Ministerio de Justicia advertido por la AEPD