Chapuza digital: un organismo de Hacienda difunde por error datos de 1.100 empresas

Sucedió el pasado martes: Rafa, fundador de una empresa toledana del ámbito de la construcción, entró en la web de la Fábrica Nacional de Moneda y Timbre (FNMT) para solicitar el certificado digital de representante, un documento que le permite hacer trámites burocráticos 'online' en nombre de su empresa, de la que es administrador solidario. Lo que ocurrió luego fue una de las mayores chapuzas digitales realizadas recientemente por un organismo público.

TE PUEDE INTERESAR

Un fallo informático de Hacienda permite ver los borradores de otras personas

Teknautas

Tras pagar los 24 euros que cuesta dicho certificado y obtenerlo, recibió un correo de la sede electrónica de la FNMT, dependiente del Ministerio de Hacienda y Administraciones Públicas, con la correspondiente factura. Sin embargo, había algo raro: el archivo PDF pesaba 10 megas y tenía nada menos que 1.101 páginas.

Los datos de 1.101 empresas, difundidos

Tardó poco en descubrir la chapuza: el documento que la FNMT le había enviado no solo contenía su factura, sino también las de otras 1.100 empresas españolas que habían gestionado un certificado idéntico o similar.

A Rafa le pareció "un error garrafal" el envío de dicho documento, pero no lo comunicó a la entidad. Sí lo hizo otro emprendedor de Madrid, fundador de una compañía tecnológica: "Llamé para contarles lo que había pasado y ya se sabían la historia. Me dijeron que había sido un error, pero reconocieron que ese documento se había enviado a más gente", explica a Teknautas.

La Fábrica Nacional de Moneda y Timbre confirma este punto. En declaraciones a este periódico, el organismo achaca todo a un error informático, al cruzarse el sistema de facturación de Ceres (el organismo que tramita los certificados) con el de la propia FNMT. En cualquier caso, "solo ocurrió el martes, y no durante todo el día, y se solucionó en cuanto se pudo", añaden. La FNMT no ha podido confirmar si hay más de 1.101 empresas afectadas, pero todo apunta a que ese es el número total de facturas filtradas.

En el documento aparecen bancos, inmobiliarias, despachos de abogados y fondos de inversión

Dicho documento, al que ha tenido acceso Teknautas, contiene información de pequeñas, medianas y grandes compañías españolas. De hecho, el listado incluso alberga a dos empresas del Ibex 35: CaixaBank (a través de su sociedad Gestión de Activos Titulizados SA) y Banco de Sabadell. Entre las demás destacadas, algunos bancos (Banco Caminos y Banco Alcalá), grandes grupos inmobiliarios como Renta Corporación Real Estate, numerosísimos despachos de abogados e incluso diversos fondos de inversión, sobre todo del sector inmobiliario.

En cada una de las facturas aparecen diversos datos sobre las empresas: su NIF, su dirección fiscal, su ciudad, el certificado digital que ha pedido, el importe que ha pagado por él y la fecha de la operación. Una información que por sí sola parece irrelevante, pero que en realidad puede representar un serio peligro.

Se podría hacer 'phishing' a esas empresas

Datos como el NIF o la dirección de la empresa no tienen mayor importancia, ya que es una información que puede encontrarse fácilmente. Sin embargo, el peligro radica en la información de la operación: concretamente, en que la persona que acceda a este documento sepa que esas empresas han llevado a cabo ese trámite y conozca los detalles del mismo.

Así lo asegura a Teknautas Jorge S., experto en seguridad informática: "Aparece el número de factura, la fecha, el ID de cliente de la FNMT y el concepto facturado. Falta el 'email' del cliente, que se puede conseguir con un poco de paciencia usando buscadores, incluso echándole morro y llamándoles desde un teléfono prepago con un terminal desechable comprado hace mucho tiempo de segunda mano. Y no voy a contar cómo se consigue una tarjeta prepago sin dar tu DNI real...", asegura.

Con la información de la factura se podría suplantar a la Fábrica de Moneda y Timbre

Con todos estos datos, el peligro se encuentra en la extrema facilidad con la que un enemigo de lo ajeno podría recurrir al 'phishing', suplantando la identidad de la propia FNMT para entrar en contacto con cada una de las empresas. Y lo peor de todo es que el catálogo puede ser de lo más variado: "Se puede enviar una factura 'rectificativa' que incluya un troyano para meterse en las redes de la víctima; se puede incluir 'ransomware' para cifrarle el ordenador y pedir un rescate si quiere recuperar su datos, etc.".

Además, "se puede tratar de engañar a la víctima diciéndole que debe exportar la firma digital recibida y subirla al nuevo y seguro almacenamiento en la nube de la FNMT, que podría montarse de manera anónima y usando un dominio como, por ejemplo, 'securecloudfnmt.com', que está libre mientras hablo contigo".

De hecho, incluso puede irse más allá: "Puedes hacerlo más creíble enviando los mensajes con un remitente del tipo 'noresponder@fnmt.es', ya que la configuración del dominio carece de DKIM para firmar digitalmente los 'emails' enviados, y que el servidor receptor pueda verificar el origen". En definitiva, "el 'phishing' puede ser bastante creíble para la empresa afectada, ya que podremos dar datos reales de una factura de hace pocos días".

Una chapuza... ¿ilegal?

El debate puede ir incluso más allá. Está claro que la acción de la FNMT puede definirse como chapuza electrónica y burocrática, pero ¿podría también ser considerada ilegal?

El jurista Samuel Parra, especializado en derecho informático, plantea varios escenarios y sus correspondientes dudas: "Partiendo de la base de que esas facturas son privadas, podría considerarse que nos encontramos ante el delito del artículo 417 del Código Penal: 'La autoridad o funcionario público que revele secretos o informaciones de los que tenga conocimiento por razón de su oficio o cargo y que no deban ser divulgados, incurrirá en la pena de multa de 12 a 18 meses e inhabilitación especial para empleo o cargo público por tiempo de uno a tres años".

Tal y como asegura Parra, "este tipo penal no exige que exista un secreto formal sobre la información que se revela, sino que habrá de decidir si esas facturas forman parte de las informaciones afectadas por el deber de discreción, impuesto legalmente a quien participa del ejercicio de la función pública".

El derecho administrativo tipifica como "infracción grave" la publicación de este tipo de información, lo cual podría conllevar sanciones

En su opinión, "las facturas obedecen todas al mismo concepto [el certificado electrónico] y los afectados tampoco se han visto atacados en su esfera íntima o de secreto profesional", con lo que habría dudas sobre si tiene relevancia suficiente como para hacer intervenir el derecho penal.

Sin embargo, sí encuentra un posible problema si nos atenemos al ámbito del derecho administrativo: "El artículo 95.e del Real Decreto Legislativo 5/2015, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público, tipifica como infracción muy grave 'la publicación o utilización indebida de la documentación o información a que tengan o hayan tenido acceso por razón de su cargo o función". Es decir, chapuza digital que podría tener consecuencias legales directas en forma de sanción a los empleados de la FNMT involucrados.

Actualización: Tras la publicación de este reportaje, la FNMT ha dirigido un comunicado a este periódico en el que ofrece nuevos detalles del asunto. Según el organismo, el error se debió a "una modificación evolutiva en un módulo de su sistema de gestión administrativa, que genera facturas electrónicas a clientes que solicitaban el certificado de representante" y asegura que "durante un intervalo de 55 minutos, las facturas emitidas en ese periodo fueron enviadas con una agregación de datos de otros clientes que en ningún caso han representado más del 0,7% del total de facturas emitidas a este segmento de clientes. Transcurrido este intervalo de tiempo, el servicio quedó totalmente normalizado".