El estudiante que programó una falsa mesa electoral en el 1-O para hacer un 'pucherazo'

Desde su casa, tirando del navegador Tor en un simple PC con sistema Kali Linux, y guiándose por las instrucciones que encontraba por internet, en Twitter y Forocoches, sobre todo. Con estos ingredientes, Raül Rivelles (nombre ficticio), consiguió el pasado 1-O burlar la seguridad de la web que había levantado la Generalitat de Cataluña para compartir el censo universal, dando de alta una mesa electoral y registando votos válidos sin tener ni siquiera un votante delante. Y lo hizo en apenas una hora.

TE PUEDE INTERESAR

Anonymous 'hackea' foros de la Policía y la web de la Comunidad de Madrid por el 1-O

M. A. Méndez

Este joven estudiante fue capaz de, en unos 60 minutos, registrar una mesa electoral a través de la web oficial del la Generalitat, conseguir unas credenciales, gracias al teléfono de atención puesto por el gobierno catalán, e inscribir algunos votos falsos como si fueran válidos en el censo universal. Lo hizo tan rápido que esa misma noche le dio tiempo a colgar el vídeo de su hazaña en internet para que todo el mundo viera cómo era posible hacer un pucherazo en el referéndum de Cataluña.

"Vi que la web estaba en http y en seguida supe que había vulnerabilidades. Me puse a investigar, registre la mesa y conseguí las credenciales por teléfono sin que nadie me preguntase ni controlase nada, solo tuve que decir que era vocal", explica el joven, aficionado a la ciberseguridad, en conversación con Teknautas.

Unos DNIs de la provincia de Barcelona que encontró con una búsqueda en Google hicieron el resto. “Tras conseguir las claves de la mesa, cogí 10 DNIs de la zona de Barcelona que encontré por internet y empecé a probar con ellos. Con algunos saltó el bloqueo porque ya habían votado, pero otros que aún no estaban en el sistema los pude registrar como votos válidos”, explica el estudiante. “Demostré, en una hora, más o menos, que cualquiera podía suplantar todas las identidades que quisiera solo teniendo en su poder números de DNI registrados en Cataluña”.

Él, que dice que lo hizo por hobby y sólo para denunciar que lo que habían montado era una auténtica "chapuza", se quedó alucinado al ver la falta de garantías que tenía el sistema de censo universal. "Si votan dos millones de personas, pero yo altero el resultado remotamente con este método hasta llegar a los dos millones y medio tengo un margen de 500 mil votos para manipular manualmente el recuento", concluye.

Datos personales en peligro

Su sorpresa fue tal con la suplantación de identidad, que dejó la otra vulnerabilidad que encontró en la web en un segundo plano: “Hicieron todo tan rápido y mal que se olvidaron de la seguridad. El sistema podía ser hackeado y al estar en http los datos de los catalanes estuvieron viajando en claro, sin cifrar, durante todo el día por esta página”.

Pero, ¿qué significa eso? Pues que cualquiera con un ordenador normal conectado a la misma red wifi que se utilizó en un colegio electoral podía llevarse todos los datos que registraban desde ese centro en la plataforma sin ningún problema, porque los mensajes entre origen y destino no iban cifrados. Cualquiera podría haberse llevado todos los datos personales de los votantes mandados en la plataforma sin despeinarse.

“Yo no quería ni boicotear el proceso ni sacar ningún provecho por esto, solo demostrar que lo del domingo fue una chapuza hecha rápida y corriendo y sin ninguna garantía. El censo universal facilitó el fraude universal”, concluye el joven.