La web de la Dirección General de Tráfico (DGT) tiene habilitado un sistema que permite obtener el resguardo de haber pagado una multa de tráfico. Sin embargo, la información que solicita la DGT para acceder a este documento es tan solo el “número de registro” (nada de certificados digitales o contraseñas), una cifra de unos pocos dígitos SECUENCIALES. El resguardo contiene, entre otros datos: nombre y apellidos, NIF, importe de la multa y número de expediente.
La Dirección General de Tráfico (DGT) no se caracteriza precisamente por su preocupación por tratar los datos personales de los ciudadano con unos mínimos de seguridad e intimidad: El sistema de consulta de puntos del carnet de conducir es ilegal, pero no lo van a cambiar.
Un lector anónimo alertaba en el foro de protección de datos sobre la existencia de un mecanismo, que a su juicio, podría vulnerar la Ley Orgánica de Protección de Datos (LOPD).
Tras una breve investigación constato que en efecto, lo que allí afirma es cierto y podría suponer claramente una vulneración de esta Ley Orgánica.
Veamos el problema:
Imaginemos que nos han puesto una multa de tráfico; gracias a la tecnología punta de la que gozamos en este país, desde la sede electrónica de la DGT podremos tramitar su pago.
Una vez finalizado el pago de la misma, se nos informa que podemos descargamos nuestro “duplicado de recibo de pago“, o sea, un resguardo de haber pagado la multa.
Para ello, debemos acudir a esta dirección: https://apl.dgt.es/WEB_Sanciones/jsp/recibo/introducirNumeroRecibo.jsf
Como es lógico, para acceder a nuestro propio resguardo -y no el del vecino- el sistema nos exige identificarnos ante la Administración, sin embargo no pensemos en complicados certificados electrónicos y complejas claves cuánticas, no, tan solo nos solicita el “número de registro”.
Este número de registro nos lo facilita la propia DGT cuando hemos terminado de pagar la multa de tráfico.
Hasta aquí todo va bien, el problema aparece cuando, sin necesidad de gozar de una inteligencia e imaginación titánica, leemos el número de registro que nos envía: 2010005000113***.
Cuando uno recibe ese número de registro y se le invita a introducirlo en esa casilla para obtener el resguardo del pago de la multa, es inevitable probar con un número inmediatamente anterior “a ver que pasa”. Y lo que pasa es que te descargas el resguardo de otra persona. Y entonces descubres que los 4 primeros dígitos hacen referencia al año, y que los últimos dígitos son secuenciales, desde el 000001 hasta el número que llegue según el número de multas de ese año.
El documento que obtenemos es silimar a este.
Este mecanismo es evidente que vulnera los artículos 9 y 10 de la LOPD, que establecen:
Artículo 9. Seguridad de los datos.
1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.
Artículo 10. Deber de secreto.
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal esten obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
A la hora de publicar esta información he sufrido un ligero dilema: ¿debía hacerlo público sin avisar a la DGT y darles un tiempo a “arreglarlo”? Esto fue lo que hice con este otro problema y sólo tardaron 15 meses en arreglarlo y porque medió una Resolución Sancionadora contra el organismo competente.
Sin embargo este caso es ligeramente diferente: ¿nos encontramos realmente ante un fallo de seguridad por una programación negligente o un código poco depurado? En mi opinión no. No nos encontramos ante un fallo de seguridad porque la DGT era y es plenamente consciente de su sistema de obtención de resguardos; de entre todas las posibilidades que tenían han optado por la que hemos visto, voluntariamente. No se requiere ningún mecanismo de intrusión, inyección, o cualesquiera otras técnicas propias de la seguridad informática: simplemente es introducir un número en una casilla que la DGT proporciona al efecto, número que no puede considerarse secreto ni aleatorio.
Por tanto no me veo en la obligación moral de ponerlo en conocimiento de la DGT porque ellos YA LO SABEN; además, teniendo en cuenta cómo (no) resolvieron este asunto no me merecen, desde el punto de vista de la protección de datos de carácter personal, ningún respeto ni condescendencia.
Este sistema de acceso a la información es muy similar a la de consulta de puntos de carnet de conducir (ya declarada ilegal) o al antiguo sistema de cesión de asientos vía web del Club de Fútbol Real Madrid, que solicitaba como nombre de usuario el número de socio y como contraseña los 4 últimos caracteres de su número de DNI (también sancionado por la Agencia Española de Protección de Datos en 2008).
Via: http://www.samuelparra.com
