"El cambio que provocó el fallo de seguridad fue intencionado"

El informático Óscar Martínez narra cómo se percató de la existencia del polémico enlace que puso en conocimiento de Ciudadanos Lo conoció cuando desarrollaba una aplicación

Óscar Martínez, emprendedor informático que se percató del fallo de seguridad en la web municipal.
Óscar Martínez, emprendedor informático que se percató del fallo de seguridad en la web municipal.
Diego J. Geniz

06 de septiembre 2015 - 05:03

"El cambio que provocó el fallo de seguridad tuvo que ser intencionado". A Óscar Martínez, el informático que puso en conocimiento del grupo municipal de Ciudadanos el enlace que permitía conocer datos de los contribuyentes sevillanos con sólo teclear el DNI, no le cabe duda de que hubo una "manipulación" en la web de la Hacienda local para que se produjera dicha situación. Este sevillano de 41 años se percató de la existencia de la URL cuando se encontraba preparando un proyecto -tramítamelo.com- mediante el cual los ciudadanos podrán realizar diversos trámites administrativos en los estancos con el DNI electrónico.

El desarrollo de dicha iniciativa suponía el uso de un certificado digital para acceder a la oficina virtual de la Agencia Tributaria de Sevilla. Hasta ahí todo normal. Todo cambió cuando en mayo se percató de que el enlace que le requería el mencionado documento electrónico dejó de estar activo. En su lugar, aparecía otro en el que sólo se exigía el DNI de un tercero para conocer datos personales como la domiciliación bancaria, los embargos, multas y vehículo. Martínez pensó en aquel momento que todo se debía a un simple problema informático "temporal" que sería resuelto pronto. Una vez acabado el proyecto en el que andaba inmerso el referido enlace seguía activo. El temor a que se mantuviera en el tiempo se confirmó a la vuelta de las vacaciones: "Al comprobar que estaba indexado en Google di la voz de alarma, pues era muy fácil acceder a información personal delicada".

Para encontrar dicho enlace había que emplear unos términos muy concretos en el buscador, pues a la URL no se podía llegar ni a través de la web del Ayuntamiento de Sevilla ni de la Hacienda local (ambas funcionan de forma independiente). "Agencia Tributaria de Sevilla indique el NIF". Éstas fueron las claves de la búsqueda. Una vez insertadas, aparecía como primera opción la referida oficina virtual. Lo primero que se veía en la pantalla era un cuadro de diálogo que pedía el DNI. Ésta es para Martínez la prueba de que el cambio que produjo el fallo fue más allá de un simple error informático. "Cuando se hacían las gestiones mediante el certificado digital en ningún momento se solicitaba el documento nacional de identidad. Aquí ha habido un cambio de texto y una configuración bien distinta a la existente. Estamos, por tanto, ante la manipulación de una persona", asegura este emprendedor.

Sobre el responsable concreto de dicho fallo, Martínez explica que la empresa responsable del funcionamiento de la web, Tecnocom, ha de disponer de un registro de los usuarios que acceden al servidor de la referida página. "Sólo hace falta comprobar quién accedió por última vez al servidor en la fecha en la que se produjo el cambio", apunta este informático.

El informe del Instituto Tecnológico del Ayuntamiento de Sevilla (ITAS) apunta a un cambio de protocolo -modificación de los códigos de autenticación- efectuado en marzo como el origen que provocó que se activara el polémico enlace que atenta contra la Ley Orgánica de Protección de Datos (LOPD). Dicho cambio se debió a la solicitud de los usuarios para acceder desde Google Chrome. Este periódico intentó ponerse en contacto con Tecnocom para conocer su versión de los hechos, pero la empresa no hará, por ahora, declaraciones al tener un expediente reservado.

stats