Gobiernodimision: manual ilustrado de malas prácticas

Antes de hablar de gobiernodimision vaya por delante una aclaración: esta web se dedica a la seguridad informática, no a la política. No es nuestro objetivo, salvo en artículos de opinión puntuales, entrar a valorar subjetivamente lo que pensamos de determinadas posturas y actitudes, vengan del lado que vengan. Así, esta crítica a gobiernodimision no está enfocada desde la divergencia hacia su posición, sino desde un análisis objetivo de todo lo que se ha hecho mal en su gestión y administración. Y no es una lista corta, desgraciadamente.

Empecemos por el principio, gobiernodimision.online es un dominio registrado a finales del pasado 2019 (el 18 de octubre), y que empieza a mostrar actividad a partir del mes de abril de este año, cuando la pandemia del coronavirus ya nos está golpeando con toda su fuerza. En el primer snapshot de la misma , fechado el ocho de abril, y que podemos encontrar en Wayback Machine, vemos que se empleó para difundir un vídeo crítico con el ejecutivo de Pedro Sánchez, así como para la convocatoria de una manifestación virtual.

Así permaneció gobiernodimision durante todo el mes de abril. Ya en mayo cambió su home para promocionar una primera manifestación motorizada por Madrid, y poco después pasó a convertirse en un plataforma online de apoyo a múltiples movimientos sociales que alientan al desacato de la ley en lo referido a las medidas de confinamiento, así como a las limitaciones y franjas horarias determinadas para las diferentes fases de la desescalada.

Y, un punto importante y que nos va a llevar en breve a la primera crítica en la administración de la web, su gestor decidió poner en marcha una tienda online de merchandising de gobiernodimision. Una tienda que nos lleva a la primera y principal crítica, que ha saltado hoy a los titulares dejándonos sorprendidos a muchos, y preocupados a quienes pasaron por caja.

 

Gobiernodimision y la seguridad

A última hora de ayer domingo FACUA denunció, públicamente y ante la Agencia Española de Protección de Datos, que la web sufría un problema de seguridad. Un problema que, según la investigación llevada a cabo por esta asociación de consumidores, permitiría a cualquier atacante obtener nombres, correos y cuentas bancarias de los usuarios, tanto de la tienda (ahora cerrada, en principio temporalmente) como de la web, que aún mantiene un formulario de contacto en el que es obligatorio introducir nombre, número de teléfono y dirección de correo electrónico.

Según informó la asociación y nos ha confirmado su portavoz, Rubén Sánchez, el problema fue reportado por FACUA a los gestores de la web el sábado por la noche, una comunicación que todavía no ha obtenido respuesta por parte de los administradores del sitio. No obstante, el portavoz de la asociación sí que se muestra convencido, por determinadas y convincentes razones, de que han recibido y leído dicha comunicación.

En cuanto al problema de seguridad de gobiernodimision, y aunque lógicamente la asociación no revela su naturaleza, si que nos plantean el nivel de asombro que experimentaron al descubrirlo. No estamos hablando de una vulnerabilidad compleja, y que exija de un gran nivel de conocimientos para explotarla. Al contrario, como nos plantea Sánchez, se trata de un error básico, terriblemente elemental. Esto, claro, nos lleva a pensar que la administración de la web recae sobre alguien sin los conocimientos necesarios para llevar a cabo este tipo de labores.

Preguntados por el estado actual de la web, FACUA confirma a MuySeguridad que el agujero de seguridad sigue presente, a lo que añaden «Nos parece extraordinariamente grave que, pese a conocer el agujero de seguridad, dos días después no hayan borrado los documentos con la información privada de su web«. Algo que, dada la certeza expresada por Sánchez en lo referido a que los responsables de gobiernodimision han leído la comunicación del sábado por la noche, señala de manera aún más clara que no se trata de un fallo por omisión o descuido, sino por incapacidad técnica.

Hablamos, como recuerda FACUA en su comunicado, de una infracción muy grave de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Y es importante, a este respecto, recordar que los datos personales relacionados con la ideología y la filiación política cuentan con un alto grado de protección según la legislación vigente, por lo que cabe esperar una rápida y efectiva actuación por parte de la AEPD frente a los gestores de gobiernodimision. Claro, que aquí surge el segundo problema con la web.

 

Gobiernodimision y la normativa legal

«Destaca, por otra parte, en la Ley, su afán por proteger los intereses de los destinatarios de servicios, de forma que éstos puedan gozar de garantías suficientes a la hora de contratar un servicio o bien por Internet. Con esta finalidad, la Ley impone a los prestadores de servicios la obligación de facilitar el acceso a sus datos de identificación a cuantos visiten su sitio en Internet«, Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

No es una norma nueva, es más, dentro de unos meses alcanzará su mayoría de edad, pero pese a ello todavía es posible encontrar tiendas en Internet que no muestran información alguna sobre sus responsables. Y sí, efectivamente, esa es otra de las malas prácticas de los responsables de de gobiernodimision. Parece que el marco legal relativo al confinamiento y las fases de la desescalada no es el único que no les satisface y se plantean romper.

Esta circunstancia también fue denunciada por FACUA y, de manera coincidente en el tiempo, detectada por la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Digitalización. A este respecto, el pasado jueves los gestores de la web recibieron un requerimiento de documentación acreditativa de titulares y/o responsables de la web. De no ser satisfecho en el plazo de diez días, sus responsables se pueden enfrentar a una sanción de entre 30.000 y 150.000 euros.

Aunque no existe una confirmación al respecto, varias fuentes señalan a Luis «Alvise» Pérez, ex-jefe de gabinete del grupo parlamentario Ciudadanos en las Cortes Valencianas y perfil muy activo y polémico en Twitter. Hace unos días celebraba en un tweet, ya eliminado, el éxito de gobiernodimision con el siguiente texto: «Más de 8.000 peticiones por minuto. Ayer colapsamos los servidores en 90 segundos, y ahora ya estáis queriendo agotar las existencias» junto a una consigna política y un enlace a la tienda online de gobiernodimision.

Es obvio que un simple tweet no es prueba suficiente de que es realmente la persona que se encuentra tras la web. Sin embargo hay dos puntos que merece la pena tener en cuenta. El primero es, ¿cómo podía disponer de datos sobre el volumen de tráfico de la web? Normalmente el acceso a esa información está limitado a los administradores del sitio. Y segundo, si no existe tal relación, ¿por qué borró el tweet? ¿A qué se debe esa repentina retirada del apoyo a gobiernodimision? Resulta, como mínimo, sospechoso.

 

Gobiernodimision y la propiedad intelectual

No hay dos sin tres, y esta web no habría de ser una excepción. Tanto en la web como en los productos a la venta en la, ahora cerrada, tienda de gobiernodimision, los responsables del sitio han empleado una fotografía del Pedro Sánchez bastante conocida. El problema es que, como también ha denunciado FACUA, que ya lleva tiempo efectuando un completo seguimiento de la web, nos encontramos ante otra irregularidad.

Y es que la mencionada fotografía fue tomada por Carlos Spottorno, quien no ha cedido los derechos de uso de la misma a los gestores de gobiernodimision. Y esto, que ya podría suponer un problema simplemente de haber sido empleada en la web, se complica todavía más si tenemos en cuenta que se ha hecho un uso comercial de la misma en parte de los productos comercializados en la tienda. Otro error garrafal que no se explica más que con un absoluto desconocimiento de la normativa legal, o una despreocupación absoluta sobre sus posibles efectos, algo que cuesta mucho creer.

Ya lo dije al principio y lo repito ahora: este no es un artículo de opinión, es una recopilación de malas prácticas de una iniciativa gestionada de una manera destacablemente torpe y descuidada. Una iniciativa que, a día de hoy, sigue incumpliendo la normativa legal al no mostrar los datos de identificación de sus gestores, y que pese a ello sigue mostrando, en su home, un número de cuenta bancaria en la que pide donativos.

No me importa, en realidad, el nombre o nombres tras gobiernodimision, ese es un dato secundario en realidad. Lo que sí que me importa, y me importa mucho, es que sea quien sea, tenga que responder frente a la justicia por las múltiples irregularidades cometidas, y más aún por no haber «apagado» el sitio de manera inmediata tras conocer el agujero de seguridad y hasta tener la certeza absoluta de haberlo solucionado.

Porque, actuando como lo ha hecho, ha puesto en bandeja de plata los datos de sus usuarios y clientes. Cualquier persona que haya apoyado la iniciativa debe saber que sus gestores, de manera negligente, han expuesto sus datos a cualquier persona con un mínimo de conocimientos y cinco minutos libres para probar la seguridad del sitio. Creo que sí, que eso es lo que más me indigna, y espero (y esto sí que es opinión) que no les salga gratis.

La entrada Gobiernodimision: manual ilustrado de malas prácticas es original de MuySeguridad. Seguridad informática.