El INEM dejó al descubierto los datos de todos los parados de España
Un informático de 26 años, especialista en protección de datos, descubrió que a través de la web del INEM se podía acceder a todos los datos personales no sólo de los parados, sino de todos aquellos que hubieran estado apuntados a las listas del paro alguna vez.
La Agencia Española de Protección de Datos (AEPD) ha sancionado al Servicio Público Estatal de Empleo (conocido por sus anteriores siglas, INEM) por un agujero informático en su web que permitía a cualquiera con conocimientos de la materia acceder a los datos privados de cualquier persona que hubiera estado apuntada en algún momento a las listas del paro.
El hecho fue denunciado por Samuel Parra, experto en protección de datos que ya fue noticia cuando condenaron a Periodista Digital por plagiarle. Los hechos se remontan a una época en la que estaba en el paro. Según informa 20 minutos, había sido sancionado por no sellar la tarjeta del paro el día que le correspondía, de modo que dejó de percibir la prestación equivalente a un mes de paro, unos mil euros.
Fue a partir de ahí que entró en la web desde la que se pueden realizar las gestiones del servicio público de empleo por internet. Lo primero reseñable es que el nombre de usuario es el DNI y la contraseña la fecha en que se dio de alta en el paro, datos que no pueden cambiarse, lo cual ya supone un agujero notable de seguridad que aún no se ha corregido. Pero lo peor vendría después.
Al acceder al apartado de la web en el que se puede renovar la demanda de empleo, es decir, "sellar" virtualmente la tarjeta del paro, vio que se veían todos los datos personales que había facilitado al servicio de empleo al que se podía acceder en esta dirección, sustituyendo YYYYYYYY por el DNI de Samuel Parra:
http://www.sistemanacionalempleo.es/ConsultaDemandaWEB/consultaDemanda.do?idDemanda=D++YYYYYYYY&modo=consultaDatos
El informático descubrió que bastaba con cambiar su DNI por el de cualquier otro para acceder a todos los datos de esa otra persona. Es un error similar al que cometió el CIS en su día, sólo que mucho más grave. Cualquiera podría haberse puesto a generar números de DNI y probarlos para tener acceso a todo tipo de datos sensibles. Así, Samuel Parra denunció en diciembre de 2008 el grave problema de seguridad, lo que llevó a la condena de la AEPD, de diciembre de 2009, que no ha sido recurrida.
Sin sanción económica
Desde entonces hasta ahora, los servicios informáticos del INEM han solucionado el problema, pero ya había pasado más de un año desde que se denunció. Asombraría la extrema lentitud en arreglar un problema que es bien sencillo de corregir: basta comprobar que el DNI del que se pide información es el mismo con que el usuario ha entrado en el sistema.
Pero la lentitud puede tener explicación. La Ley Orgánica de Protección de Datos exime a las administraciones de cualquier tipo de sanción económica. Así, por ejemplo, la AEPD impone a las empresas privadas un buen número de multas que en 2008, por ejemplo, sumaron más de 21 millones de euros, las administraciones públicas no deben hacer pago alguno.
Así, la AEPD no ha tenido problema en imponer 361.208 euros a Iberia por perder los datos de un solo cliente o 1 millón de euros a Endemol por colgar los datos de los participantes en Gran Hermano. Pero haber mantenido durante más de uno año un agujero de seguridad que permitía acceder a los datos de todas las personas que alguna vez han estado suscritas al INEM, e incluso modificarlos, no lleva a ninguna sanción a los responsables más que la obligación de corregir el fallo.
En Tecnociencia
Servicios
- Radarbot
- Libro
- Curso
- Escultura