18:40 09/10/02
EXPEDIENTES DE BENESTAR SOCIAL, AL DESCUBIERTO CON NOMBRES Y DNIs EN LA WEB DE LA GENERALITAT
Un grupo de hackers hace públicos graves errores en los servidores de www.gencat.es, que permiten leer, borrar y añadir nuevos contenidos
Mercè Molist
"Toda su red está tan mal configurada que se ha convertido en una mofa en lo que a seguridad y confidencialidad se refiere", asegura el grupo Pokemon H@ck Team en una carta enviada al administrador de los servidores informáticos de la Generalitat de Catalunya. Al no recibir respuesta, los hackers han publicado la carta en una web, junto a capturas de pantalla con la información obtenida en sus incursiones.Destacan, en el botín, expedientes de la Comissió Interdepartamental de la Renda Mínima d'Inserció del Departament de Benestar Social, con nombres, DNIs, NIFs, direcciones, fechas de nacimiento, estado civil o problemáticas de los afectados, como transtornos mentales o económicos.
Además, según denuncian los hackers, los servidores de gencat.es se usan desde hace tiempo por todo tipo de intrusos como punto intermedio para ataques a otras máquinas, a fin de no ser detectados.Estos curiosos, en gran número según cuenta el grupo, aprovechan "serios fallos de configuración" que permiten leer, borrar y subir nuevos contenidos a las máquinas. Entre ellos, destaca el archiconocido -en ámbitos informáticos- fallo del Unicode, que da acceso a partes del servidor que deberían estar cerradas, o la vulnerabilidad RDS MSADC, que da el control total del servidor web para cambiar noticias, discursos y otras informaciones que allí se publiquen.
Pero las deficiencias más graves se encuentran en las máquinas de Benestar Social, donde se accede fácilmente a los nombres de usuarios y contraseñas, que llevan directamente a los expedientes de personas que aparecen con nombres, DNIs, direcciones y todo tipo de datos. Lo que les lleva a afirmar: "Lo más peligroso de la red de redes es el delito que las propias instituciones cometen a diario: la falta de protección de los datos de sus ciudadanos. No resguardan la intimidad, no defienden los documentos, pero eso no importa, siempre pueden echar la culpa a los 'malvados hackers'".
Precisamente, según fuentes del departamento de Presidència de la Generalitat, "se ha puesto el caso en conocimiento de la brigada de delitos informáticos de los Mossos d'Esquadra. Además, los datos a los que se ha tenido acceso no son de relevancia, solo listados de nivel interno. Simplemente, han querido buscar notoriedad. Desde la Generalitat se han tomado ya medidas para que no vuelva a pasar y se han cerrado los accesos".
En la página web creada para denunciar el caso, http://www.kamasutrababes.com/pokehack.htm, Pokemon H@ck Team critica también: "Tanto hablar de la Ley de Servicios de la Sociedad de la Información, de cuidar de la seguridad en Internet y luego, cuando se escarba un poco, uno se encuentra con que sin apenas esfuerzo mental puede llegar a los datos de cualquier ciudadano tocando una tecla. Por eso es por lo que escribimos este documento, para pedirle al gobierno y las empresas que cierren estos agujeros de seguridad".
Autodenominándose "hacktivistas" y criticando repetidamente la Ley de Servicios de la Sociedad de la Información, que el sábado entra en vigor, aprovechan también, en su carta al administrador de gencat.es, para defender su honor: "Aquí dentro, en el mítico mundo del chip y del electrón, somos los que defendemos los derechos de los demás, somos nosotros y no los gobiernos quienes luchan contra la pederastia y por la libertad de expresión".