jueves, 17 de mayo de 2018

¿Cómo se pudieron conseguir los datos de la víctima de la Manada?

Los datos de la víctima de la Manada fueron filtrados, y lo peor es que esos datos han sido filtrados por la propia Audiencia de Navarra. Yo reporté algunos fallos de seguridad de la web de la Audiencia, pero esta vez no se pudieron acceder a los datos por unos fallos de seguridad, sino por la propia sentencia que ya te daba el código, que, si lo piensas bien, podría suponer un fallo de seguridad.


La denunciante dejó bastante claro que no quería que saliese ningún dato suyo, hasta tal punto que en la sentencia se le llamó "la denunciante" en lugar su nombre y apellidos. Este derecho de la chica a mantener su privacidad, es algo que la Audiencia debería de mantener, pero no fue así, y todo por un código de verificación que hay en todas las sentencias.


En las sentencias judiciales se suele incluir un Código en cada página y un enlace para que, si vas a ese enlace e introduces el Código, que se denomina CSV, puedas ver toda la sentencia, pero sin lo datos sin censurar. En la propia web de la Audiencia Nacional te dan más información sobre este código.


Y claro, la sentencia salió pública, y con el CSV y el enlace que hay que visitar, en cada página puesto.


Con ese código, tan sólo tienes que irte a la web que en la misma sentencia se te da, copiar y pegar el código, y ya tenías acceso completo a la sentencia oficial con todos los datos, de todas las personas implicadas sin censurar.


Para entrar y comprobar una sentencia completa necesitas de un certificado digital, por lo que una vez que tengas uno, tan sólo te basta con realizar lo dicho, copiar y pegar el código y ya te podrás descargar el pdf con la sentencia completa.

Este es un gran problema, ya que se pudo acceder a la información confidencial de la víctima. Información como su DNI, su nombre y apellidos, etc. Información que se puede utilizar para buscarla por redes sociales y stalkearla, cosa que ha pasado porque la Audiencia Nacional de Navarra no quiso revisar la sentencia 10 minutos.

La misma Audiencia de Navarra ha dicho que esto ha ocurrido por las prisas de publicar la sentencia ante un caso de interés general. Pero este problema se hubiese solucionado de varias maneras:

  1. No poner en esta sentencia el CSV ya que la víctima pidió que no se supiese nada acerca de ella, por lo que si se sabe que con el CSV se puede ver una sentencia completa con los datos sin censurar, es esencial no incorporar ese cuadrito.
  2. En caso de ponerlo, ponerlo únicamente en la última página, para que al revisar la sentencia, no se tenga que quitar de todas las páginas, solamente se elimina la última página y listo.
  3. Crear un portal web único, al que se pueda acceder mediante usuario y contraseña que se le haya pasado a los abogados y fiscales del caso, para que solamente ellos puedan tener la sentencia completa. No es muy complicado crear un portal al que no se pueda registrar gente, que solamente haya un administrador que de de alta a la gente y listo. Con un Wordpress, lo haces en nada.
Por cosas como esta, es que digo que la gente de Derecho es estúpida, y es que este caso con este fallo, ha provocado que muchas personas pudiesen acceder a la sentencia con todos los datos de la víctima, y se publicasen en redes sociales y foros de Internet como Forocoches.


Se crearon hasta posts en Facebook con la información de la víctima, se difundieron sus redes sociales, su DNI y mucha información más. Esto atenta contra el derecho a la privacidad de la víctima, y no se está respetando, pero lo que peor me parece, es que después muchos iluminados quieran acusar de terrorismo en España a gente por hacer chistes o decir que "los borbones son unos ladrones" en una canción, pero difundir información personal de una chica-que atenta contra el Código Penal artículo 197- parece que no es para tanto y la Justia y las autoridades, actúan lento.

A esta chica se la ha estado acosando desde que salió el caso por los medios de comunicación, y una vez terminados los juicios, se la sigue acosando, esta vez cibernéticamente, y hay gente que aún sigue negando la cultura de la violación.

Cuando se conoció que con este fallo o despiste-muy casual- se estaba accediendo a la información de la víctima, eliminaron el código para inhabilitarlo y que nadie más pudiese acceder a esa información, pero cuando se produce una fuga como esta, los datos ya los has perdido para siempre. La chica se podrá cambiar de nombre, de casa, se sexo, de pelo, pero no se podrá cambiar de DNI-uno de los datos filtrados-.

Pero que hayan deshabilitado el código, no significa que ya lo hayan hecho todo, ya que, por mera curiosidad, visité la web de la Audiencia de Navarra y vi que tenían la web montado con un Microsoft ASP.NET 2.0.50...una versión desactualizada.



Ya sabéis que tener software descatualizado en un sistema es algo muy peligroso, ya que cualquiera podría aprovecharlo para acceder mediante un meterpreter, al sistema en cuestión. Que se pueda acceder al sistema de la sede judicial de Navarra, es peligroso porque quizás-y digo quizás porque no lo he probado- se podría acceder al pdf de la sentencia. Ya sabéis, algo como lo que se hizo para cambiar las notas. Pues aquí lo mismo pero con un pdf en lugar de un Excel.

Es muy lamentable que las webs de las sedes judiciales cometan fallos tan básicos que comprometen gravemente la privacidad de los ciudadanos. Son fallos que son de no saber absolutamente nada de seguridad a su nivel más básico y elemental, pero no pasa nada, que nuestros queridísmos amigos de Derecho estudian mucho, pero pensar...eso ya es una variable tipo null.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...