Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.

Cinco aclaraciones sobre el referéndum: bases de datos, hackers rusos y privacidad

Manifestació d'estudiants a favor del Referendum / 1Oct

Marta Peirano

El Govern ha convocado a 5.343.358 catalanes a votar en 2.315 colegios electorales, con 7.200 voluntarios, el próximo 1 de octubre. El censo que se ha utilizado para hacerlo ha generado muchos titulares, algunos bastante fantásticos. Estas son las cinco preguntas más frecuentes sobre la legalidad de las bases de datos, las páginas del referendum, los hackers rusos y las consecuencias de acceder a las páginas perseguidas.

En principio, todo tiene una explicación plausible, basada en la información que tenemos. Ahora, en las próximas 24 horas todo podría cambiar. 

1. ¿De donde ha sacado la Generalitat el censo para el referéndum?

En principio, esas bases de datos estaban en varios sitios: el Instituto Nacional de Estadística, la Agencia Tributaria, la Tesorería General de la Seguridad Social y el Ministerio de Sanidad, Servicios Sociales e Igualdad. Pero la única apropiada sería el censo electoral oficial que actualiza cada mes la Oficina del Censo, que depende del Instituto Nacional de Estadística, dentro del Ministerio de Economía.

El último censo electoral catalán fue emitido para las elecciones de septiembre de 2015 y sumaba 5.510.713 personas. Pero para tener acceso el Govern, la consulta tendría que ser aprobada por el Congreso de los Diputados y firmada por el presidente del Gobierno y por el Rey. Esto no ha ocurrido ni va a ocurrir.

La otra opción es el padrón de habitantes de los ayuntamientos catalanes que recaba el Institut d’Estadística de Catalunya (Idescat). Esa base de datos incluye el nombre, apellidos, domicilio, sexo, fecha y lugar de nacimiento y nacionalidad de todos los catalanes. 

En principio, la lista “no tiene competencias en materia electoral”. Pero el artículo 54 de la Ley 23/1998 de estadística de Cataluña que lo regula considera que “los datos del Registro de Población de Cataluña se cederán a otras administraciones públicas que lo soliciten sin consentimiento previo de la persona afectada, solamente cuando los necesiten para el ejercicio de sus competencias, y exclusivamente para asuntos en los cuales la residencia o el domicilio sean datos relevantes”. 

2. ¿Es legal que se use esa base de datos para el referéndum?

En principio, depende. La ley que permitía el referéndum y el decreto de normas complementarias que aprobó el Parlament los días 6 y 7 de septiembre fueron suspendidas por el Tribunal Constitucional. Desde este punto de vista, entre las competencias del gobierno catalán no estaría la de hacer un referéndum. Por lo tanto, no tendría acceso a esos datos de población.

Por otra parte, la Autoritat Catalana de Protecció de Dades emitió un dictamen el 26 de febrero de 2014 donde se recuerda que la Ley de Reguladora de las Bases del Régimen Local, concretamente su artículo 16.3, “habilita la comunicación de los datos del padrón a la Generalitat de Catalunya necesarios para comprobar que las personas que quieran participar en una consulta tengan la condición de vecinos de un municipio de Catalunya”.

En aquella ocasión, la APDCAT respondía a la petición de una alcaldesa en vistas al referéndum de 2014. Pero, según La Vanguardia, los servicios jurídicos de la entidad aseguran que el dictamen seguiría vigente porque “como de procesos participativos o consultas puede haber de muchos tipos y el dictamen no se refiere a los que regulan las dos leyes anuladas por el Tribunal Constitucional, todavía está vigente el informe”.

3. ¿Están las webs del referendum difundiendo la base de datos el nombre y el DNI de todos los catalanes?

En principio no, porque los datos están fuertemente encriptados. La página original de la Generalitat y sus múltiples clones contienen una base de datos con 256 directorios de unos 256 ficheros. Cada fichero tiene 60 líneas, una para cada persona del censo. Pero, en lugar de su información personal, están el distrito, la sección y la mesa que les corresponde. 

Lo ha explicado muy bien David Cabo, fundador de Civio, en un hilo de Twitter sobre el particular:

Los detalles de cada mesa también están encriptados, lo que hace prácticamente imposible tener la lista completa de mesas con sus direcciones físicas. El problema es que la Policía o la Guardia Civil tengan el mismo censo que la Generalitat, y que puedan usar esos datos para conseguir las listas de las mesas. Que podría ser. 

4. ¿Y esa multa de 300.000 euros por vulneración de la Ley de Protección de Datos?

En principio, solo afectaría a los presidentes o vocales de las mesas. El comunicado que publicó este viernes la Agencia Española de Protección de Datos atribuye una “posible” infracción a quienes participen en las mesas electorales del referéndum, que sí tendrían acceso a una copia no encriptada de los datos del censo catalán pero que “no podrán tratar esos datos como miembros de un órgano electoral ni como personas físicas que estuvieran desempeñando competencias propias de la Generalitat”. Porque no está claro (ver punto nro. 2) que las competencias de la Generalitat incluyan un referéndum, etc. 

5. ¿Si pongo mi nombre y apellidos para saber mi mesa quedarán mis datos registrados?

En principio, sí. Los servidores guardan un registro de todo el tráfico que reciben. Si entras en una página del referéndum desde tu ordenador, el servidor guardará un registro (log) de la hora a la que entraste, el tiempo que estuviste y lo que hiciste en ella, incluyendo tu nombre y documento de identidad, si es que llegas a introducirlo. Y, si no haces nada para evitarlo, como usar un Proxy, una Red Privada Virtual o una herramienta tipo TOR, se sabrá la dirección IP, el navegador, el sistema operativo desde el que lo hiciste. 

Si el servidor es extranjero, es poco probable que entregue los datos a Mariano Rajoy, pero muy probable que los venda al peso a todo el que quiera pagarlos. Y no será el único que los tenga: la operadora que te proporciona el ancho de banda sabrá qué páginas has buscado y qué información has intercambiado con ellas. Por no hablar de las cookies, de las plataformas sociales a las que estés conectado y un largo etc. de terceras partes que se ganan la vida sabiendo quién eres, qué haces y con quién. Internet tiene millones de ojos. 

5. ¿Hay un ejército de hackers rusos replicando la web del referéndum por petición de la Generalitat?

En principio, no lo parece y además no habría hecho falta. Cuando, el pasado 13 de septiembre, la Guardia Civil entró en la empresa que alojaba la web oficial del referéndum para cerrarla con una orden judicial, Puigdemont anunció dos clones: www.ref1oct.cat, alojado en Reino Unido y www.ref1oct.eu, alojado en Luxemburgo. Inmediatamente, el juzgado de instrucción número 13 de Barcelona ordenó a las operadoras que impidieran el acceso desde España a los dominios ref1oct.cat, ref1oct.eu, referendum.es, referendum.cat, referendumoctubre1.com, referendum.ws, referendumoctubre1.cat, referendumoct1.cat, 1octreferendum.cat y garanties.cat. Se detuvo al director de sistemas de la fundación PuntCAT, Josep Masolivé. Entonces pasaron dos cosas perfectamente predecibles.

La primera fue que muchos interesados explicaron cómo acceder a las páginas a través de un proxy (un puente que te permite acceder a una página desde una dirección IP extranjera). La segunda fue una nueva demostración de una de las leyes fundamentales de Internet: todos los esfuerzos por eliminar un contenido en la Red serán generosamente recompensados con replicas infinitas del contenido que quieres eliminar. Cuando más lo prohíbes, más se viraliza por resistencia a la censura, independientemente de su intención. En este caso, la web del referendum fue replicada en cientos de espejos, o mirrors, habilitados sin mucho esfuerzo por cientos de personas, manifestando más rechazo a la actuación del gobierno que apoyo al independentismo catalán.

No hacía falta ser ni hacker ni ruso: solo había que descargarse los archivos de la web original, con la base de datos cifrada con el censo, subirlos de nuevo al servidor con un dominio nuevo. Fue lo que hizo un estudiante de Barcelona de 19 años llamado Lluis Montabés con www.marianorajoy.cat. “Es evidente que es un movimiento popular de gente que se mueve por su cuenta. No necesitas ser 'hacker' para hacer esto. Y menos ruso”, le decía hoy al Confidencial.

Podría haber sido más discreto. “Yo compré el dominio marianorajoy.cat antes de saber muy bien qué iba a hacer con él. Lo compré con mi nombre y apellidos y con mi tarjeta. Era fácil localizarme. Pero cualquiera con mínimos conocimientos informáticos puede duplicar estas webs en hostings de cualquier país, incluido Rusia, sin dejar ningún rastro”. Basta con contratar un servidor seguro fuera de Europa, en una parte del mundo donde el gobierno español no tenga competencias. Por ejemplo, pero no exclusivamente, Rusia.

Etiquetas
stats