No, nadie ha publicado tu DNI y móvil en la red: ya estaban en Google (y es preocupante)

Este lunes un misterioso grupo de 'hackers' irrumpía en la red. Se hacían llamar 'DigitalResearchTeam' y aseguraban que, como 'hackers éticos', habían forzado varias webs de instituciones españolas entre las que se encontraban la del Ministerio de Justicia, el de Hacienda o universidades como la de Cádiz o la Politécnica de Madrid para avisar de las vulnerabilidades de sus sistemas. Demostraban los ataques con capturas de pantalla en las que se mostraban los supuestos documentos robados, pero lo cierto es que toda esa información está publicada en Google.

Ningún experto en ciberseguridad había confirmado los ataques y la mayoría dudaban de su autenticidad, pero una investigación del perito informático Jorge Websec publicada en el blog de la compañía QuantiKa14, ha acabado por desmontarlo. Aunque eso sí, lo publicado tampoco deja en buen lugar a nuestras entidades públicas. Según explica Websec, y hemos podido comprobar desde Teknautas, solo hace falta conocer algunas claves del buscador más usado de la red para dar con numerosos documentos de estas instituciones en los que aparecen listados DNIs, nombres, apellidos y otros datos sin ningún tipo de protección.

Esta investigación demuestra que este grupo de 'hackers' estaba mintiendo, pero también habla de algo muy preocupante: que nuestras instituciones tienen mucho que hacer para proteger nuestros datos correctamente. Información que, como comentan abogados especialistas en este tema como Sergio Carrasco, debería estar guardada a buen recaudo para evitar la construcción de cualquier base de datos ilegal con información personal clave.

Por ejemplo, con una simple búsqueda siguiendo los pasos que explica el Websec, desde este periódico hemos dado con un listado de la Universidad Politécnica de Madrid en el que aparecen de forma ordenada nombres, apellidos y DNIs de más de 40 personas. Todo completamente al descubierto. En el Ministerio de Hacienda podemos dar con listados de opositores que se presentan a sus exámenes o documentos similares. Oficiales y públicos, sí, pero que también cuentan con un contenido personal muy importante que queda al acceso de cualquiera que sepa algo de Google.

'Fake Hack'

Por otro lado, lo que también demuestra Websec es que de nuevo nos encontramos ante otro Fake Hack. DigitalResearchTeam vendió su acción como un gran ataque a diferentes instituciones, pero en realidad solo tuvieron que hacer búsquedas en Google. Es más, los tuits en los que corroboraban su trabajo ya no están en su cuenta de Twitter, creada para la ocasión, y no se sabe si el borrado es decisión suya o del propio Twitter.

No es la primera vez que ocurre algo similar. Ya a finales de 2017, un grupo que aseguraba formar parte de Anonymous atacó webs de pequeñas federaciones como la de Pádel y páginas pueblos de España asegurando que lo hacían para protestar por lo ocurrido el 1-O. Obviamente