¿Están las administraciones y entidades públicas protegiendo correctamente nuestros datos?

A ritmo de una batucada suenan los tweets de @DigitalReasearchTeam. Exponen capturas de pantallas de archivos donde se puede ver datos como nombres, apellidos, direcciones, nº DNI y otros datos administrativos de personas.

Parece que Twitter ha actuado rápido y han quitado los Tweets porque no son visibles actualmente. Sin embargo, ya varios medios se han hecho eco.

https://www.xataka.com/seguridad/estos-hackers-eticos-afirman-haberse-colado-ministerio-justicia-hacienda-psoe-ciudadanos

https://www.adslzone.net/2019/02/13/digitalresearchteam-hackeo-instituciones-espana/

Inicialmente parece que la intención es concienciar a las entidades y administraciones para que cuiden y protejan mejor los datos de los ciudadanos. No es la primera vez que vemos una noticia parecida. Es más, hace poco menos de 2 años ya conocimos otro fallo crítico en el sistema telemático de justicia llamado Lexnet...

Por ello, nos hemos preguntado, guiño a Ivan Portillo. ¿Qué de fácil sería montar tu propia NSA en casa?

Este tema ya lo hemos comentado en diversas ocaciones, donde hablamos de OSINT, SOCMINT y la aplicación Dante’s Gates.

Vamos a analizar brevemente, hasta que punto las administraciones exponen “facilmente” datos de personas. Para ello, simplemente haremos búsquedas con Dorks en Google. Y luego haremos un breve croquis de las diferentes herramientas que necesitariamos para crear nuestro pequeño laboratorio de datos. Nuestro pequeño centro de inteligencia en casa.

¿Cuántos PDF con “DNI” son públicos?

Accediendo con nuestro navegador favorito en Google insertamos el siguiente DORK: site:dominio.com filetype:pdf intext:”dni”

Cambiando “dominio.com” por el dominio de la web que queramos analizar, vamos a ir uno a uno obteniendo los resultados de las siguientes páginas:

juntadeandalucia.com

• 

42.500 resultados entre los cuales podemos encontrar miles de datos de diferentes personas. Listado Provisional del personal excluido en el Procedimiento Selectivo para acceso al Cuerpo de Inspectores de Educación, Listados de sustitutos en centro educativos, subvenciones de consejerias, modelos de diplomas, adjudicaciones, etc.

• 

• 

• 

sevilla.org

1.360 resultados donde sobre todo encontramos PDF de los jóvenes que han pedido trabajo al ayuntamiento a través del programa emplea joven de Sevilla, hasta documentos de convocatorias para la policía local de la ciudad.

• 

• 

• 

Páginas webs del gobierno español

54.700 resultados y lo que más nos sorprende es la cantidad de información de todo tipo. Desde listados de personas reclutadas por el ministro de defensa, convocatorias de personal laboral para embajadas, adjudicaciones de ministerios, etc.

• 

• 

• 

• 

Conclusiones

Como hemos podido ver no es requerido un alto nivel técnico para realizar un breve análisis y responder qué archivos filtran información personal en las diferentes entidades públicas.

Toda la información que se ha mostrado es pública. Cualquier usuario con un mínimo conocimiento en búsquedas avanzadas con buscadores lo puede encontrar. El siguiente paso es descargar todo los archivos PDFs. Para ello, tampoco habrá que tener un gran conimiento informático y con la aplicación “wget” y usando bien los parametros se podrá hacer de forma automática.

Tras el análisis se puede concluir que estas páginas webs y muchas otras de la administración no disponen medidas y mucho menos preocupación por los datos de personas que están públicos, sin limitación y control de acceso.

Estos son algunos de los ejemplos que se han mostrado en este artículo:

• Listado de jóvenes que han pedido una ayuda de trabajo
• Listado con nombres, apellidos y DNI asociado con discapacidad
• Listado de convocatorias de personal laboral en embajadas de España
• Listado de nombres, apellidos y DNI de policias