Un agujero de seguridad en la Hacienda local

Javier Millán, en el centro, durante su comparecencia en la que denunció la existencia de este fallo de seguridad en la web de la Hacienda local.
Diego J. Geniz Sevilla

04 de septiembre 2015 - 05:03

Saber el DNI de una persona empadronada en Sevilla capital era hasta ayer el único requisito para conocer su cuenta bancaria, las deudas que acumula, las multas impagadas y el tipo de vehículo que posee, entre otros datos. Una fuente de información pública por la que muchos se habrán frotado las manos tiempo atrás y ajena al control del Ayuntamiento. El paraíso digital de cualquier cotilla o buceador de información personal que contraviene la Ley de Protección de Datos y atenta contra los derechos de privacidad de los ciudadanos.

Dicha información aparecía en un enlace de la oficina virtual de la Agencia Tributaria de Sevilla al que no se tenía acceso desde este departamento ni desde la web del Ayuntamiento hispalense, sino desde el buscador Google. Ni el gobierno local anterior ni el actual tenían constancia de su existencia. Ha sido el grupo municipal de Ciudadanos el que ha alertado sobre este filtro de datos personales. Su portavoz, Javier Millán, fue el encargado de darlo a conocer ayer en rueda de prensa. Apenas una hora después, a las 13:00, el enlace dejaba de estar activo.

Poco se sabe sobre el tiempo que ha estado funcionando. Según Ciudadanos, al menos lleva activo seis meses. Su aparición en Google evidencia que su existencia no ha sido breve. Así lo explicó el asesor informático Óscar Martínez, quien compareció junto a Millán para explicar este polémico caso.

El partido naranja tuvo constancia de la existencia de este polémico enlace (www.sevilla.org/OVAlba2/autenticacionDesarrollo.htm) a través de diversas gestorías que cuentan con certificado digital. Lo cierto, como comprobó este periódico, es que para acceder a esta URL había que hacerlo desde Google y teclear varios términos para que apareciera entre los primeros dominios de búsqueda. En el acta notarial que Ciudadanos ha levantado para acreditar los hechos se detalla una expresión muy concreta para hallar la página en cuestión: "Agencia Tributaria de Sevilla indique el NIF de la persona". Una vez empleados estos términos, aparecía en primer lugar la dirección de la oficina virtual del Ayuntamiento de Sevilla. Al pinchar en dicho enlace, se solicitaba el DNI de la persona sobre la que se deseaba obtener información. Al consignarlo, los datos de ese ciudadano eran ya de total dominio público sin que hubiera ningún otro filtro o requisito que lo impidiera.

La siguiente página contenía varios bloques temáticos, entre ellos el patrimonio, las multas y la domiciliación bancaria. Este periódico pudo comprobar minutos antes de que dejara de estar activo como se podía acceder a la información sobre las sanciones que no habían sido abonadas por un ciudadano, así como diversos datos bancarios. La página estuvo activa hasta las 13:00 de ayer. Minutos después, al introducir el DNI de otro sevillano, aparecía un cuadro de diálogo en el que se indicaba que por problemas técnicos en ese momento no se podái acceder a la información. Padasas unas horas, el enlace estaba totalmente desactivado.

Millán, que durante su comparecencia en ningún momento detalló las claves de búsqueda del enlace para prevenir la privacidad de los datos en él expuestos, calificó de "flagrante fallo de seguridad" en la web del Ayuntamiento. "La transparencia no debe estar reñida con la seguridad jurídica de los ciudadanos", enfatizó el portavoz del partido naranja.

Lo cierto es que, más allá de la polvareda política que pueda levantar este asunto, este agujero en la seguridad de la Hacienda local -como así lo definió Ciudadanos- atenta contra dos artículos de la Ley Orgánica de Protección de Datos (LOPD). El enlace supone una clara infracción del artículo 7.5, que establece que han de quedar "especialmente protegidos los datos de carácter personal relativos a la comisión de infracciones penales o administrativas". En este sentido, la citada página contenía un apartado sobre las multas pagadas y pendientes así como los motivos que provocaron la infracción.

El otro principio contra el que se atenta viene recogido en el artículo 9.1. En él se detalla que "el responsable del fichero y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provegan de la acción humana o del medio físico o natural". Está claro que aquí se incumple dicho precepto, pues no se habían activado los mecanismos necesarios que impidieran que dicha información quedara expuesta públicamente, ya que el único requisito que evitaba acceder a datos como el IBI, la domiciliación de recibos, los embargos o los impuestos de matriculación era conocer el DNI de un tercero, una barrera demasiado débil.

No son sólo estos datos a los que se podía acceder. Como detalló el asesor informático Óscar Martínez, también se podía conocer la dirección exacta de la vivienda y del resto de inmuebles, así como la marca, matrícula y modelo del vehículo. "La dirección de esta URL lleva siendo pública el tiempo suficiente para que haya sido perfectamente indexada en Google. Es imposible evaluar el recorrido o el perjuicio que haya podido causar a los sevillanos", explicó Martínez.

Millán detalló que las acciones emprendidas hasta ahora por Ciudadanos consisten en haber puesto en conocimiento de la Alcaldía la existencia de este enlace mediante un escrito presentado en el registro municipal -algo que negó el gobierno local- y trasladar la situación a la Agencia Española de Protección de Datos, además de levantar un acta notarial sobre lo ocurrido. Para el portavoz de la formación naranja, dicho enlace supone "un atentado contra la la intimidad y la seguridad de los sevillanos".

No hay comentarios

Ver los Comentarios

También te puede interesar

Lo último