18
de maig
del
2016
Actualitzat
el
25
de maig
a les
14:47h
La filtració d’informació personal de més de 5.000 mossos d’esquadra ha tornat a posar sobre la taula l’etern debat de la protecció de les dades. En aquesta ocasió es tracta d’un cas realment greu. Uns pirates informàtics anònims van bolcar, durant la matinada de dimarts a dimecres, els noms i cognoms, telèfons mòbils, adreces de domicili físic, i fins i tot comptes corrents de membres de la policia catalana. Són les dades d'afiliats del Sindicat de Mossos d’Esquadra (SME), entre juny 2006 i maig 2016, encara que ja no siguin afiliats o ni tan sols policies. Amb un nivell 4 d’alerta terrorista, el cos dels Mossos ha quedat totalment exposat amb aquesta filtració.
El més alarmant de la situació potser és que després de gairebé 24 hores, ni el Departament d’Interior de la Generalitat ni els mateixos Mossos han anunciat l'autoria d’aquesta filtració massiva. El sindicat policial ja ha obert diligències i es personarà com a acusació del cas. “Esperem trobar els culpables”, ha dit el portaveu de l’entitat. "Ara estem una mica coixos, perquè no tenim web, no tenim res, tot està sota control. Fins i tot comunicar-nos és complicat", ha reblat.
Moltes incògnites se superposen sense obtenir cap resposta clara. Des de primera hora del matí, el mitjà de comunicació públic d'alguns dels principals activistes d'Anonymous a Catalunya, @La9danon, ha deixat clar que mai jugarien amb informació tan sensible. “No és el nostre estil”. La periodista en ciberseguretat, Mercè Molist, apuntava a NacióDigital que potser podria tenir relació amb el hacker Phineas Fisher, “un Robin Hood en l’àmbit internacional que ha protagonitzat grans atacs com la filtració, el juliol de 2015, de més de 400 Gb de dades, amb noms de clients i eines que l'empresa Hacking Team venia a governs de tot el món”.
Altra pregunta que sorgeix és si l’SME comptava amb les mesures de seguretat exigides per la normativa de dades. “Sent el Sindicat dels Mossos d’Esquadra una organització privada, és a l’Agència de Protecció de Dades Espanyola a qui correspon estudiar el cas, i si hi ha hagut negligència, el sindicat pot rebre una multa de més de 60.000 euros”, ha explicat a NacióDigitalManel Medina, director de l'Equip de Seguretat (esCERT) de la UPC i coautor, amb Mercè Molist, del llibre Cibercrim.
Però de tota la informació filtrada, la més compromesa no és aquella que permet conèixer la identitat i domicili físic d’un mosso, sinó el fet de saber qui ha estat afiliat al sindicat. “La normativa contempla tres nivells de protecció en funció de la informació que s’ha de preservar: bàsic, mitjà i alt. El nivell alt correspon a tot allò que fa referència a ideologia, raça, vida sexual, creences, afiliacions sindicals, relatives a la salut, o si és víctima de violència de gènere", ha explicat a NacióDigital Santiago Farré, cap de l’assessoria jurídica de l’Autoritat Catalana de Protecció de Dades. "Per tant de tot el fitxer filtrat, el que hauria d’estar més protegit són els noms dels que pertanyen al Sindicat dels Mossos. La resta d'informació és sensible perquè indica el domicili particular o el compte corrent dels implicats, però aquestes dades només han d'estar protegides en un nivell bàsic”.
Segons apunta Farré, el reglament actual té els dies comptats, perquè la Unió Europea acaba d’aprovar una nova normativa que serà vigent a partir del 2018, on es farà una valoració de riscos per cada cas en concret. “Això vol dir que tractant-se d’un cos policial, seria valorat de manera diferent perquè el risc que implica és més alt que si s’hagués filtrat un fitxer de treballadors d’una empresa privada qualsevol”.
El cap de l’assessoria jurídica de l’ACPD destaca que els Mossos mai s’identifiquen amb el seu nom i cognoms reals, sinó amb la targeta d’identificació professional (TIP), que és un número que protegeix la seva identitat. “La revelació d’aquestes dades els exposa a una situació d’alt risc personal”.
Per a Medina, en el món virtual hi ha encara molt poca vigilància i aquest ha estat un dels factors claus que hagi resultat senzill atacar la base de dades de l’SME. “Tenim càmeres de videovigilància als carrers i centres comercials, però ningú vigila les webs privades”.
La seguretat del Sindicat de Mossos
“Sembla que s'ha basat en un servidor que feia temps que no era prou segur, de manera que els autors només s'han hagut de centrar en algunes vulnerabilitats concretes per tal d'obtenir la informació”, explica Miquel Serrabassa, director de Tecnologia de NacióDigital. “La més probable és la coneguda com a injecció SQL, que en webs mal desenvolupats permet a qualsevol usuari amb certs coneixements poder llegir i modificar les bases de dades del web sense conèixer-ne les dades d'accés. En aquests casos s'hauria pogut accedir també a les contrasenyes dels usuaris i els administradors, i de no haver estat encriptades s'haurien pogut utilitzar per entrar en altres comptes, com el de Twitter”. Serrabassa apunta que tampoc es pot descartar que les dades també podrien haver sortit d'algú que les conegués prèviament o d'algun atac previ.
A última hora de la tarda, el director general del Centre de Seguretat Informàtica de Catalunya (CESICAT), Xavier Gatius, ha negat tenir més detalls del cas dels que ja s’han fet públics. Com l’atac ha estat a una entitat privada, el CESICAT no lidera ni pot intervenir en la investigació. “Intentem vetllar per les dades en l’àmbit de la Generalitat però no podem fer res en la resta d’entorns aliens a la institució, a part de recomanacions”, ha explicat a NacióDigital el màxim responsable de l'organisme. “Tampoc podem fer una protecció de les accions individuals dels funcionaris públics. L’entitat té cura de les dades de la Generalitat però no pot intervenir ni controlar aquelles accions de tipus personal on es deixen dades, com pot ser la compra d’un bitllet d’avió per un viatge familiar, o per afiliar-se a un sindicat”.
Ningú s'atreveix a assegurar res. Gairebé 24 hores més tard del "greu" atac informàtic contra els Mossos –com l'ha definit el mateix conseller Jordi Jané- tot continuen sent incògnites, que accepten especulacions però poques certeses.
El més alarmant de la situació potser és que després de gairebé 24 hores, ni el Departament d’Interior de la Generalitat ni els mateixos Mossos han anunciat l'autoria d’aquesta filtració massiva. El sindicat policial ja ha obert diligències i es personarà com a acusació del cas. “Esperem trobar els culpables”, ha dit el portaveu de l’entitat. "Ara estem una mica coixos, perquè no tenim web, no tenim res, tot està sota control. Fins i tot comunicar-nos és complicat", ha reblat.
Moltes incògnites se superposen sense obtenir cap resposta clara. Des de primera hora del matí, el mitjà de comunicació públic d'alguns dels principals activistes d'Anonymous a Catalunya, @La9danon, ha deixat clar que mai jugarien amb informació tan sensible. “No és el nostre estil”. La periodista en ciberseguretat, Mercè Molist, apuntava a NacióDigital que potser podria tenir relació amb el hacker Phineas Fisher, “un Robin Hood en l’àmbit internacional que ha protagonitzat grans atacs com la filtració, el juliol de 2015, de més de 400 Gb de dades, amb noms de clients i eines que l'empresa Hacking Team venia a governs de tot el món”.
Altra pregunta que sorgeix és si l’SME comptava amb les mesures de seguretat exigides per la normativa de dades. “Sent el Sindicat dels Mossos d’Esquadra una organització privada, és a l’Agència de Protecció de Dades Espanyola a qui correspon estudiar el cas, i si hi ha hagut negligència, el sindicat pot rebre una multa de més de 60.000 euros”, ha explicat a NacióDigitalManel Medina, director de l'Equip de Seguretat (esCERT) de la UPC i coautor, amb Mercè Molist, del llibre Cibercrim.
Però de tota la informació filtrada, la més compromesa no és aquella que permet conèixer la identitat i domicili físic d’un mosso, sinó el fet de saber qui ha estat afiliat al sindicat. “La normativa contempla tres nivells de protecció en funció de la informació que s’ha de preservar: bàsic, mitjà i alt. El nivell alt correspon a tot allò que fa referència a ideologia, raça, vida sexual, creences, afiliacions sindicals, relatives a la salut, o si és víctima de violència de gènere", ha explicat a NacióDigital Santiago Farré, cap de l’assessoria jurídica de l’Autoritat Catalana de Protecció de Dades. "Per tant de tot el fitxer filtrat, el que hauria d’estar més protegit són els noms dels que pertanyen al Sindicat dels Mossos. La resta d'informació és sensible perquè indica el domicili particular o el compte corrent dels implicats, però aquestes dades només han d'estar protegides en un nivell bàsic”.
Segons apunta Farré, el reglament actual té els dies comptats, perquè la Unió Europea acaba d’aprovar una nova normativa que serà vigent a partir del 2018, on es farà una valoració de riscos per cada cas en concret. “Això vol dir que tractant-se d’un cos policial, seria valorat de manera diferent perquè el risc que implica és més alt que si s’hagués filtrat un fitxer de treballadors d’una empresa privada qualsevol”.
El cap de l’assessoria jurídica de l’ACPD destaca que els Mossos mai s’identifiquen amb el seu nom i cognoms reals, sinó amb la targeta d’identificació professional (TIP), que és un número que protegeix la seva identitat. “La revelació d’aquestes dades els exposa a una situació d’alt risc personal”.
Per a Medina, en el món virtual hi ha encara molt poca vigilància i aquest ha estat un dels factors claus que hagi resultat senzill atacar la base de dades de l’SME. “Tenim càmeres de videovigilància als carrers i centres comercials, però ningú vigila les webs privades”.
La seguretat del Sindicat de Mossos
“Sembla que s'ha basat en un servidor que feia temps que no era prou segur, de manera que els autors només s'han hagut de centrar en algunes vulnerabilitats concretes per tal d'obtenir la informació”, explica Miquel Serrabassa, director de Tecnologia de NacióDigital. “La més probable és la coneguda com a injecció SQL, que en webs mal desenvolupats permet a qualsevol usuari amb certs coneixements poder llegir i modificar les bases de dades del web sense conèixer-ne les dades d'accés. En aquests casos s'hauria pogut accedir també a les contrasenyes dels usuaris i els administradors, i de no haver estat encriptades s'haurien pogut utilitzar per entrar en altres comptes, com el de Twitter”. Serrabassa apunta que tampoc es pot descartar que les dades també podrien haver sortit d'algú que les conegués prèviament o d'algun atac previ.
A última hora de la tarda, el director general del Centre de Seguretat Informàtica de Catalunya (CESICAT), Xavier Gatius, ha negat tenir més detalls del cas dels que ja s’han fet públics. Com l’atac ha estat a una entitat privada, el CESICAT no lidera ni pot intervenir en la investigació. “Intentem vetllar per les dades en l’àmbit de la Generalitat però no podem fer res en la resta d’entorns aliens a la institució, a part de recomanacions”, ha explicat a NacióDigital el màxim responsable de l'organisme. “Tampoc podem fer una protecció de les accions individuals dels funcionaris públics. L’entitat té cura de les dades de la Generalitat però no pot intervenir ni controlar aquelles accions de tipus personal on es deixen dades, com pot ser la compra d’un bitllet d’avió per un viatge familiar, o per afiliar-se a un sindicat”.
Ningú s'atreveix a assegurar res. Gairebé 24 hores més tard del "greu" atac informàtic contra els Mossos –com l'ha definit el mateix conseller Jordi Jané- tot continuen sent incògnites, que accepten especulacions però poques certeses.