Grave fallo de seguridad en una web del Ministerio de Vivienda
Los funcionarios lo llaman el portal "qué hay de lo mío": es el sistema que permite acceder al estado de la ayuda a la emancipación. El problema es que permitía acceder a los datos de cualquier otro solicitante con sólo saber el DNI.
Según explica El Mundo, la web de la Renta Básica a la Emancipación del Ministerio de Vivienda (rbe.vivienda.es) sufre una vulnerabilidad que permitía acceder a los datos de los solicitantes con sólo saber el DNI. El mecanismo para aprovecharse de ella es muy sencillo. Una vez que hemos introducido nuestros datos de acceso, las distintas páginas de las que consta la web se pasan esos datos de forma visible en el código HTML, como campos ocultos en los formularios. Basta emplear un software como Firebug que permita cambiar esos datos para acceder a los datos de otros solicitantes.
El proceso, tal y como cuenta Alonso Vidales Miguélez, quien descubrió esta vulnerabilidad, "se podría haber automatizado de forma realmente sencilla, obteniendo los datos de todos los beneficiarios de la ayuda". Pero aunque se solucionara este fallo, aún quedaría el hecho de que la página no está cifrada, como sí sucede con la de Hacienda, los bancos y cada vez más servicios web gratuitos, lo que facilitaría la intercepción por parte de un tercero de los datos que introducimos en ella.
El caso es similar al que denunció el informático Samuel Parra y que tardó más de un año en ser corregido. Fue el INEM quien dejó al descubierto los datos que poseía no sólo de los parados, sino de cualquier persona que se hubiera apuntado al servicio en algún momento. Aquel caso dejó clara la doble vara de medir de la Ley Orgánica de Protección de Datos, que no conlleva sanciones económicas si el culpable es una administración.
La Agencia de Protección de Datos ha confirmado a Libertad Digital que va a iniciar actuaciones para determinar si ha existido esta violación o no de la normativa de protección de datos, que en su caso también determinará qué parte de la responsabilidad reside en el Ministerio de Vivienda y cuánta en la empresa que ha desarrollado el portal, si realmente es cierto que el trabajo fue subcontratado. Cabe notar que existe una diferencia notable en el régimen de sanciones, pues la empresa puede ser multada y la administración no.
Eso sí, el Ministerio de Vivienda ha sido más rápido que el INEM y ha desactivado temporalmente el portal de consulta online de la Renta Básica de Emancipación –que los funcionarios del ministerio llaman "portal qué hay de lo mío"– ante la posibilidad de que usuarios autorizados puedan consultar información relativa a otros beneficiarios. Esta medida es uno más de los gastos que han incurrido el Gobierno Zapatero y que habría que recortar para reducir el déficit, y consiste en un pago de 210 euros mensuales a jóvenes de entre 22 y 30 años para pagarles parte del alquiler.
En Tecnociencia
Servicios
- Radarbot
- Libro