El ataque hacker a la página web de Vox puede ser la menor de las preocupaciones que ahora mismo tiene la organización política.

Las consecuencias de la falta de seguridad de su web y cómo ha reaccionado pueden ser denunciables.

Anonymous reclamó ayer el ataque hacker a Vox.

El ataque hacker se saldó con el robo de los datos de 30.000 usuarios de la web de Vox. Estos no son datos de donantes o miembros de Vox, que están guardados en una base de datos diferente.

Los atacantes sólo pudieron acceder a la base de datos de usuarios interesados en Vox. La web tiene una sección en la que puede introducirse el número de teléfono o el correo electrónico, para recibir más información del partido.

Filtración de datos que puede ocasionar una multa

La reacción de Vox no se hizo esperar, y aunque confirmó el ataque, le quitó importancia y aseguró que el caso estaba en manos de la Guardia Civil. Sin embargo, puede que eso no sea suficiente, y que la reacción de Vox no haya sido la adecuada en este caso.

Cuando una entidad sufre un ataque informático, no basta con la denuncia a la policía o Guardia Civil. También está obligada a notificárselo a los usuarios afectados, según la ley de Protección de Datos.

La ley considera una “infracción grave” que una entidad no haya notificado “incidentes con efectos perturbadores en el servicio”. Un ataque hacker que consigue robar información de los usuarios entraría en esa categoría.

Por lo tanto, Vox está obligada a informar a todos los 30.000 usuarios cuya información ha sido robada en su página web.

Si no lo ha hecho, podría enfrentarse a multas de entre 100.001 y 500.000 €, al considerase una infracción grave.

¿Protegía Vox suficientemente los datos de los usuarios?

Eso sólo sería el principio. La Agencia Española de Protección de Datos podría abrir su propia investigación sobre cómo el partido trató los datos de sus usuarios; y a su vez, multar a la organización si considera que no hizo lo suficiente para protegerlos.

Pero se debe aclarar que la multa no sería por haber sido hackeados. Sino por no implementar las suficientes medidas para evitar que eso ocurra.

Por ejemplo, si el servidor ejecutase software obsoleto con bugs conocidos, o si las contraseñas no estuviesen cifradas.

Según los datos compartidos por los propios atacantes, podría haber motivos para una investigación. Estos indicaron que Vox usaba un servidor de la empresa 1&1 con un cortafuegos muy pobre.

Si la configuración del cortafuegos fue lo que permitió a los hackers entrar en el sistema, eso se podría entender como fallo de Vox.

Más preocupante es que incluso afirmaran que las contraseñas almacenadas por Vox no estaban cifradas. Esto es lo mínimo que cualquier propietario de una web que maneja datos de usuarios tiene que dar; el cifrado de las contraseñas aseguraría que, como mínimo, para los hackers fuese más difícil obtenerlas.

Sin embargo, y de nuevo según los hackers, Vox almacenaba algunas contraseñas en texto plano, sin ningún tipo de cifrado. Otras contraseñas estaban “hasheadas” en MD5; este algoritmo genera una serie de caracteres en base a una cadena de texto, pero el contenido se puede revelar fácilmente.

Por lo tanto, de confirmarse, estas contraseñas se habrían guardado de manera insegura.

El presidente de Vox fue director de Protección de Datos

Estas aparentes deficiencias en la protección de los datos de Vox son más llamativas cuando recordamos el pasado del líder de Vox, Santiago Abascal.

En 2010, Abascal fue nombrado director de la Agencia de Protección de Datos de la Comunidad de Madrid por Esperanza Aguirre.

En semejante posición, Abascal estará familiarizado con muchas de las técnicas y métodos usados para proteger los datos de los usuarios. Así como sobre las consecuencias para las organizaciones que no los usan.

Ya hay antecedentes de partidos políticos multados por el tratamiento de los datos de usuarios.

El pasado mes de abril, la ANC y Òmnium fueron multadas con 90.000 € por tener una base de datos de usuarios en EEUU; aunque la base de datos estaba “inoperativa”, según sus propietarios.

Vox puede enfrentarse a una multa de 500.000 € por el hackeo de su web
4.3 (86.67%) 6 votos