martes, 27 de diciembre de 2011

Parados sin secretos

Con el NIF, el número de teléfono de una persona y un poco de paciencia, cualquiera puede saber el nombre completo de esta, lo que cobra de paro y hasta la cuenta del banco donde se lo ingresan. La web del Servicio Público de Empleo Estatal (SEPE) pide una clave de sólo dos dígitos que, además, no se bloquea cuando se introducen combinaciones una y otra vez para entrar en el expediente personal de los 2,8 millones de parados que actualmente cobran la prestación por desempleo. Tanto el Ministerio de Trabajo como la Agencia Española de Protección de Datos (AEPD) consideran, sin embargo, que el sistema es seguro.
Las distintas administraciones ofrecen a los ciudadanos la posibilidad de acceder a la mayoría de sus servicios y gestiones desde internet usando el DNI electrónico o un certificado digital. Así lo hacen la Seguridad Social y la Agencia Tributaria. Pero esta última también tiene habilitada una tercera vía en la que pide el NIF, el primer apellido y un número de referencia que sólo conoce el contribuyente.
Para consultar las prestaciones por desempleo, el SEPE exige también el DNI electrónico o un certificado digital. Pero ofrece una tercera alternativa llamada Datos de Contraste. Estos son el NIF, el número de teléfono y una clave de dos cifras que sólo va del 00 al 99 y se corresponde con el dígito de control (el popular DC) de la cuenta bancaria.
Una vez dentro, se pueden conocer las prestaciones recibidas además de gran número de datos personales, como nombre y apellidos, número de la Seguridad Social o estado civil. También aparece la cuenta bancaria dada para recibir la prestación, nombre del banco incluido.
"No es un fallo de seguridad, es de implementación del acceso, que está basado en datos que son fáciles de conseguir", dice el director de ePrivacidad , Samuel Parra. Sólo el dígito de control es relativamente secreto, pero al ofrecer tan sólo cien combinaciones sólo se necesita paciencia. Este abogado presentó una denuncia ante la AEPD contra el sistema del SEPE por incumplir las exigencias de la Ley de Protección de Datos.
Sin embargo, la Agencia acaba de resolver que el sistema es seguro. Trabajo se agarra a este dictamen. "La denuncia fue archivada y desestimada porque no se hallaron evidencias de que el sistema de control incumpliese los requisitos mínimos que exige la normativa", explica un portavoz del Ministerio.
Para Parra, sin embargo, la AEPD basó su decisión en un informe técnico que "no ha debido de comprobar correctamente el sistema de acceso". En efecto, la resolución explica que el mecanismo de acceso "ha previsto ciertas limitaciones al intento reiterado de accesos no autorizados". Pero, como ha comprobado Parra y este periódico, no hay bloqueo ni al tercer intento ni al centésimo. El SEPE ya fue sancionado en 2008 por otro fallo similar que permitía conocer la vida laboral con sólo saber el DNI de la persona.

No hay comentarios:

Publicar un comentario