02
de juny
del
2016
Actualitzat
el
25
de març
del
2017
a les
7:56h
La filtració de les dades de 5.400 agents de la policia espanyola ha tornat a posar sobre la taula el debat sobre la seguretat de les dades personals a la xarxa. Menys de 15 dies de l'atac al web del Sindicat de Mossos d'Esquadra, i ja ha quedat clar que la seguretat és una assignatura pendent.
La feblesa dels webs "perifèrics"
L’atac a la policia espanyola s’ha realitzat de manera molt semblant al dels Mossos d'Esquadra de fa només uns dies. I s’ha dut a terme en el que podríem anomenar "perifèric": el de la Mutualitat de Previsió Social de la Policia. L'atac als Mossos d'Esquadra, per la seva banda, es va fer a la pàgina d'un sindicat.
En ambdós casos es guardaven dades personals en obert al públic. Potser s'hauria d’evitar si no es pot garantir una seguretat màxima amb identificació de certificats o DNI electrònic. Tot i això, podria existir algun problema que encara les deixés accessibles.
Mètodes semblants, però ningú assegura que sigui el mateix individu o grup
Encara ningú té clar qui va realitzar l'atac al web del Sindicat de Mossos. La metodologia i les accions dels atacants han variat lleugerament en aquest nou cas amb la policia espanyola: s'ha reivindicat l'atac en nom d'Anonymous i les dades només inclouen el nom, DNI, adreça de correu electrònic i contrasenya encriptada (que podria ser desxifrada amb facilitat). Això es diferencia del cas dels Mossos, on apareixien moltes més dades personals, incloent-hi telèfons o adreces. Potser la Mutualitat no les tenia.
No s’ha utilitzat el mateix compte de Twitter –l'actual reivindicava un atac a la pàgina de policia de Xile- tot i que sí que se cita el hashtag #HackBack, corresponent al compte @gammagroupPR des d'on es va reivindicar l'atac al web dels Mossos. Tampoc s'han fet servir els mateixos canals de publicació de les dades, tot i que molts llocs permeten publicar informació de forma anònima. Podria ser només una tècnica per amagar-se. Sigui com sigui, a hores d'ara, si els cossos policials en tenen alguna pista –d'aquest cas o del referent al sindicat de Mossos-, probablement encara s'està investigant i no es faci públic fins més endavant. El més probable és que els autors siguin diferents, i probablement d'algú que signa com a Anonymous des de l'Amèrica Llatina.
L'anatomia d'un delicte
Encara que hi hagi qui pugui sentir simpatia per aquests actes, cal no oblidar que es tracta d'un delicte. De la mateixa manera que es podria robar un banc, les filtracions de dades no deixen de ser un robatori amb tots els seus ingredients. Podem equiparar el passamuntanyes per tapar-se la cara amb la xarxa Tor (que protegeix l’anonimat), i les eines que s'utilitzen per amagar les dades reals de l'usuari que ha fet l'atac. Sigui amb armes o robant una clau, la vulnerabilitat dels sistemes ha permès accedir a aquestes dades. Aquesta seria la principal diferència respecte a un delicte "físic": escriure unes línies de codi en un ordinador sembla molt més fàcil que idear la manera de superar una porta blindada. Finalment, webs com Pastebin, Hackbin o similars són el lloc on s'amagarien els béns robats, que en aquest cas són dades.
Es poden trobar els responsables?
Si és possible saber qui ho ha fet o no dependrà en gran part de la perícia de l'usuari així com, en certa manera, de la casualitat. Xarxes com Tor, que distribueixen el trànsit entre altres usuaris per "dissimular" d'on surt, podrien tenir algun node amagat de la policia. Si alguna de les dades originals passés per un d'aquests nodes, hi hauria un punt on poder començar a buscar. D’altra banda, les plataformes utilitzades per publicar les dades o el compte de Twitter podrien ajudar a trobar pistes. De fet, si els agents trobessin una adreça IP real, ja seria la primera pista que, consultada amb les operadores d’Internet, donaria una idea de la ubicació real des d'on s'ha fet l'atac. I aquesta podria ser des d'un cibercafè, universitat o ordinador infectat per l'atacant.
La inseguretat de les dades
Els atacs al sindicat de Mossos i a la Mutualitat de la policia han destacat, però de robatoris n'hi ha constantment. I alguns són molt més perillosos a escala global, com el de LinkedIn de fa quatre anys i del qual ara n'han aparegut dades de més de 100 milions d'usuaris i que han coincidit amb la publicació de dades d'altres llocs (com Tumblr o MySpace) robades també fa anys, però posades a la venda per Internet fa uns mesos.
Caldria esperar que els agents no utilitzin les mateixes contrasenyes en aquests webs que les que tenen en comptes més privats i amb més informació com Facebook o el seu correu electrònic personal, ja que del contrari, amb l'adreça i la contrasenya prèviament desencriptada, podríem provar d'accedir-hi, llegir els seus correus o enviar-ne fent-se passar per ell. Aquest és el mateix perill de qualsevol filtració de dades i el motiu principal pel qual es recomana utilitzar gestors de contrasenyes i no emprar mai la mateixa en dos pàgines diferents, encara que això sembli massa feina.
També és important utilitzar, allà on sigui possible, la identificació en dos passos, que implica que després d'introduir la contrasenya correcta rebem un codi per SMS o per alguna aplicació del mòbil que hem d'introduir per poder accedir, i dóna un nivell més de seguretat.
La feblesa dels webs "perifèrics"
L’atac a la policia espanyola s’ha realitzat de manera molt semblant al dels Mossos d'Esquadra de fa només uns dies. I s’ha dut a terme en el que podríem anomenar "perifèric": el de la Mutualitat de Previsió Social de la Policia. L'atac als Mossos d'Esquadra, per la seva banda, es va fer a la pàgina d'un sindicat.
En ambdós casos es guardaven dades personals en obert al públic. Potser s'hauria d’evitar si no es pot garantir una seguretat màxima amb identificació de certificats o DNI electrònic. Tot i això, podria existir algun problema que encara les deixés accessibles.
Mètodes semblants, però ningú assegura que sigui el mateix individu o grup
Encara ningú té clar qui va realitzar l'atac al web del Sindicat de Mossos. La metodologia i les accions dels atacants han variat lleugerament en aquest nou cas amb la policia espanyola: s'ha reivindicat l'atac en nom d'Anonymous i les dades només inclouen el nom, DNI, adreça de correu electrònic i contrasenya encriptada (que podria ser desxifrada amb facilitat). Això es diferencia del cas dels Mossos, on apareixien moltes més dades personals, incloent-hi telèfons o adreces. Potser la Mutualitat no les tenia.
No s’ha utilitzat el mateix compte de Twitter –l'actual reivindicava un atac a la pàgina de policia de Xile- tot i que sí que se cita el hashtag #HackBack, corresponent al compte @gammagroupPR des d'on es va reivindicar l'atac al web dels Mossos. Tampoc s'han fet servir els mateixos canals de publicació de les dades, tot i que molts llocs permeten publicar informació de forma anònima. Podria ser només una tècnica per amagar-se. Sigui com sigui, a hores d'ara, si els cossos policials en tenen alguna pista –d'aquest cas o del referent al sindicat de Mossos-, probablement encara s'està investigant i no es faci públic fins més endavant. El més probable és que els autors siguin diferents, i probablement d'algú que signa com a Anonymous des de l'Amèrica Llatina.
L'anatomia d'un delicte
Encara que hi hagi qui pugui sentir simpatia per aquests actes, cal no oblidar que es tracta d'un delicte. De la mateixa manera que es podria robar un banc, les filtracions de dades no deixen de ser un robatori amb tots els seus ingredients. Podem equiparar el passamuntanyes per tapar-se la cara amb la xarxa Tor (que protegeix l’anonimat), i les eines que s'utilitzen per amagar les dades reals de l'usuari que ha fet l'atac. Sigui amb armes o robant una clau, la vulnerabilitat dels sistemes ha permès accedir a aquestes dades. Aquesta seria la principal diferència respecte a un delicte "físic": escriure unes línies de codi en un ordinador sembla molt més fàcil que idear la manera de superar una porta blindada. Finalment, webs com Pastebin, Hackbin o similars són el lloc on s'amagarien els béns robats, que en aquest cas són dades.
Es poden trobar els responsables?
Si és possible saber qui ho ha fet o no dependrà en gran part de la perícia de l'usuari així com, en certa manera, de la casualitat. Xarxes com Tor, que distribueixen el trànsit entre altres usuaris per "dissimular" d'on surt, podrien tenir algun node amagat de la policia. Si alguna de les dades originals passés per un d'aquests nodes, hi hauria un punt on poder començar a buscar. D’altra banda, les plataformes utilitzades per publicar les dades o el compte de Twitter podrien ajudar a trobar pistes. De fet, si els agents trobessin una adreça IP real, ja seria la primera pista que, consultada amb les operadores d’Internet, donaria una idea de la ubicació real des d'on s'ha fet l'atac. I aquesta podria ser des d'un cibercafè, universitat o ordinador infectat per l'atacant.
La inseguretat de les dades
Els atacs al sindicat de Mossos i a la Mutualitat de la policia han destacat, però de robatoris n'hi ha constantment. I alguns són molt més perillosos a escala global, com el de LinkedIn de fa quatre anys i del qual ara n'han aparegut dades de més de 100 milions d'usuaris i que han coincidit amb la publicació de dades d'altres llocs (com Tumblr o MySpace) robades també fa anys, però posades a la venda per Internet fa uns mesos.
Caldria esperar que els agents no utilitzin les mateixes contrasenyes en aquests webs que les que tenen en comptes més privats i amb més informació com Facebook o el seu correu electrònic personal, ja que del contrari, amb l'adreça i la contrasenya prèviament desencriptada, podríem provar d'accedir-hi, llegir els seus correus o enviar-ne fent-se passar per ell. Aquest és el mateix perill de qualsevol filtració de dades i el motiu principal pel qual es recomana utilitzar gestors de contrasenyes i no emprar mai la mateixa en dos pàgines diferents, encara que això sembli massa feina.
També és important utilitzar, allà on sigui possible, la identificació en dos passos, que implica que després d'introduir la contrasenya correcta rebem un codi per SMS o per alguna aplicació del mòbil que hem d'introduir per poder accedir, i dóna un nivell més de seguretat.