El ataque hacker a la página web de Vox puede ser la menor de las preocupaciones que ahora mismo tiene la organización política; las consecuencias de la falta de seguridad de su web y cómo ha reaccionado pueden ser denunciables.
El día de ayer La Nueve, una organización asociada con Anonymous, reclamó el ataque hacker a Vox; el partido que protagonizó las pasadas elecciones andaluzas se convirtió en el objetivo del grupo. Aún hay muchos detalles que no conocemos del ataque, y que ya están bajo investigación de la Guardia Civil; pero todo apunta a que La Nueve consiguió acceso al servidor de la página web de Vox hace ya unos días, y que fue ayer cuando decidió hacerlo público.
El ataque hacker se saldó con el robo de los datos de 30.000 usuarios de la web de Vox. Estos no son datos de donantes o miembros de Vox, que están guardados en una base de datos diferente. Los atacantes sólo pudieron acceder a la base de datos de usuarios interesados en Vox; la web tiene una sección en la que podemos introducir nuestro número de teléfono o el correo electrónico, por si queremos recibir más información del partido.
La filtración de datos de Vox puede acabar en multa
La reacción de Vox no se hizo esperar, y aunque confirmó el ataque, le quitó importancia y aseguró que el caso estaba en manos de la Guardia Civil. Sin embargo, puede que eso no sea suficiente, y que la reacción de Vox no haya sido la adecuada en este caso.
Cuando una entidad sufre un ataque hacker, no basta con la denuncia a la policía o Guardia Civil; también está obligada por ley a notificar a los usuarios afectados. Así lo recuerda el abogado Carlos Sánchez Almeida en Twitter, donde ha colgado un extracto de la ley de protección de datos.
En concreto, la ley considera una “infracción grave” que una entidad no haya notificado “incidentes con efectos perturbadores en el servicio”; un ataque hacker que consigue robar información de los usuarios entraría en esa categoría. Por lo tanto, Vox está obligada a informar a todos los 30.000 usuarios cuya información ha sido robada en su página web. Si no lo ha hecho, podría enfrentarse a multas de entre 100.001 y 500.000 €, al considerase una infracción grave.
¿Hizo Vox lo suficiente para proteger los datos de los usuarios?
Eso sólo sería el principio. La Agencia Española de Protección de Datos podría abrir su propia investigación sobre cómo el partido trató los datos de sus usuarios; y a su vez, multar a la organización si considera que no hizo lo suficiente para protegerlos.
Hay que aclarar que la multa no sería por haber sido hackeados; sino por no implementar las suficientes medidas para evitar que eso ocurra. Por ejemplo, si el servidor ejecutase software obsoleto con bugs conocidos, o si las contraseñas no estuviesen cifradas.
Según los datos compartidos por los propios atacantes, podría haber motivos para una investigación. La Nueve se jactó de que Vox usaba un servidor de la empresa 1&1 con un cortafuegos muy pobre; si la configuración del cortafuegos fue lo que permitió a los hackers entrar en el sistema, eso se podría entender como fallo de Vox.
Más preocupante incluso es que La Nueve afirma que las contraseñas almacenadas por Vox no estaban cifradas. Esto es lo mínimo que cualquier propietario de una web que maneja datos de usuarios tiene que dar; el cifrado de las contraseñas aseguraría que, como mínimo, para los hackers fuese más difícil obtenerlas.
Sin embargo, y de nuevo según los hackers, Vox almacenaba algunas contraseñas en texto plano, sin ningún tipo de cifrado. Otras contraseñas estaban “hasheadas” en MD5; este algoritmo genera una serie de caracteres en base a una cadena de texto, pero el contenido se puede revelar fácilmente. Por lo tanto, de confirmarse, estas contraseñas se habrían guardado de manera insegura.
El líder de Vox fue director de Protección de Datos
Estas aparentes deficiencias en la protección de los datos de Vox son más llamativas cuando recordamos el pasado del líder de Vox, Santiago Abascal. En 2010, Abascal fue nombrado director de la Agencia de Protección de Datos de la Comunidad de Madrid por Esperanza Aguirre.
En semejante posición, Abascal estará familiarizado con muchas de las técnicas y métodos usados para proteger los datos de los usuarios; así como de las consecuencias para las organizaciones que no los usan. El paso de Abascal por la Agencia fue polémico, especialmente por un sueldoque superaba los 90.000 €; por aquel entonces, más de lo que cobraba el Presidente del Gobierno, José Luis Rodríguez Zapatero.
Ya hay antecedentes de partidos políticos multados por el tratamiento de los datos de usuarios. El pasado abril, la ANC y Òmnium fueron multadas con 90.000 € por tener una base de datos de usuarios en EEUU; aunque la base de datos estaba “inoperativa”, según sus propietarios.
No hay comentarios:
Publicar un comentario