Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/12/2011
Una web de treball permet saber quant cobra cada parat combinant dos dígits
Parats sense secrets.
Amb el NIF, el número de telèfon d’una persona i un poc de paciència, qualsevol pot saber el seu nom complet, el que cobra de desocupació i fins i tot el compte del banc on li ingressen els diners. La web del Servici Públic d’Ocupació Estatal (SEPE) demana una clau de només dos dígits que, a més, no es bloqueja quan s’introduïxen combinacions una vegada i una altra per a entrar en l’expedient personal dels 2,8 milions de parats que actualment cobren la prestació per desocupació. Tant el Ministeri de Treball com l’Agència Espanyola de Protecció de Dades (AEPD) consideren, no obstant això, que el sistema és segur.
Les distintes administracions oferixen als ciutadans la possibilitat d’accedir a la majoria dels seus servicis i gestions des d’internet usant el DNI electrònic o un certificat digital. Així ho fan la Seguretat Social i l’Agència Tributària. Però esta última també té habilitada una tercera via on demana el NIF, el primer cognom i un dígit de referència que només coneix el contribuent.
Per a consultar les prestacions per desocupació, el SEPE exigix també el DNI electrònic o un certificat digital. Però oferix una tercera alternativa anomenada Dades de Contrast. Estos són el NIF, el número de telèfon i una clau de dos xifres que només va del 00 al 99 i es correspon amb el dígit de control (el popular DC) del compte bancari.
Una vegada dins, es poden conéixer les prestacions rebudes a més d'un bon nombre de dades personals, com nom i cognoms, número de la Seguretat Social o estat civil. També apareix el compte bancari donat per a rebre la prestació, nom del banc inclòs.
"No és un error de seguretat, és d’implementació de l’accés, que està basat en dades que són fàcils d’aconseguir", diu el director d'ePrivacidad, Samuel Parra. Només el dígit de control és relativament secret, però a l’oferir només cent combinacions es necessita paciència. Este advocat va presentar una denúncia davant de l’AEPD contra el sistema del SEPE per incomplir les exigències de la Llei de Protecció de Dades.
No obstant això, l’Agència ha resolt que el sistema és segur. Ocupació s’acull a este dictamen. "La denúncia va ser arxivada i desestimada perquè no es van trobar evidències que el sistema de control incomplira els requisits mínims que exigix la normativa", explica un portaveu del Ministeri.
Per a Parra, no obstant això, l’AEPD va basar la seua decisió en un informe tècnic que "no ha degut de comprovar correctament el sistema d’accés". En efecte, la resolució explica que el mecanisme d’accés "ha previst certes limitacions en l’intent reiterat d’accessos no autoritzats". Però, com ha comprovat Parra i este periòdic, no hi ha bloqueig ni al tercer intent ni al que fa cent. El SEPE ja va ser sancionat en 2008 per un altre error semblant que permetia conéixer la vida laboral només sabent el DNI de la persona.