Samuel Parra, experto en protección de datos que trabaja en la empresa murciana ePrivacidad, echó un vistazo hace una semanas al portal de la transparencia puesto en marcha por el Gobierno de Mariano Rajoy, en el que se ofrece a los ciudadanos información sobre los sueldos que perciben los cargos públicos y que cuenta con un apartado en el que los usuarios pueden realizar consultas y solicitar información a la Administración del Estado.
Samuel se animó a realizar una consulta y, para su sorpresa, descubrió un fallo de seguridad en la página web que vulnera la Ley Orgánica de Protección de Datos. El error ha obligado al ministerio de Hacienda y Administraciones Públicas, del que depende el portal, a realizar cambios en la web a una sola semana de estrenarse.
«Realicé una solicitud de información y me enviaron un justificante. Al descargármelo, la dirección web a la que me apuntaba el documento ´PDF´ que aparecía con el justificante no parecía aleatoria, sino un número. Para mí fue tan sencillo como cambiar el número a uno o dos posteriores y, de esta forma, conseguí acceder a las consultas que habían hecho otros usuarios», relata el murciano.
Samuel Parra tuvo acceso de esta manera a datos personales de los usuarios, como el nombre, los apellidos, el DNI o NIF y el contenido de la consulta de los ciudadanos realizaron.
«La gravedad del fallo están en que es muy fácil explotarlo; no hace falta ser un hacker, sino que se puede acceder a las peticiones de información que ya han presentado los ciudadanos y conocer su nombre y apellidos, su número de DNI, su correo electrónico, su domicilio y la concreta petición de información», confirma este experto en protección de datos.
La web está en funcionamiento desde el pasado 10 de diciembre. Samuel Parra cree que, debido a las prisas para ponerla en marcha, es posible que los informáticos que realizaron el portal de la transparencia no tuvieron tiempo suficiente para garantizar la seguridad en la página.
