- Global Voices en Español - https://es.globalvoices.org -

Bloguera expone fallos en protección de datos personales en sitio web de comisión electoral macedonia

Traducción publicada el 05/03/2016 7:00 GMT 1 · Escrito por Filip Stojanovski Traducido por Gabriela García Calderón Orbe

Categorías: Europa Central y del Este, Macedonia, Activismo digital, Elecciones, Gobernabilidad, Medios ciudadanos, Política, Tecnología, GV Advox

Part of the home page of Macedonian State Election Commission website.

^[1]

Parte de la página de inicio del sitio web de la Comisión Estatal Electoral de Macedonia, www.sec.mk.

Garantizar que las próximas elecciones sean libres y justas es crucial para el regreso de la democracia y la estabilidad en Macedonia. Una joven bloguera colaboró con este proceso descubriendo un error relacionado con el aplicativo web de registro de votantes del gobierno.

Una de las reformas necesarias para poner fin a la actual crisis política en Macedonia ^[2], como lo estipula un acuerdo que fue supervisado por la Unión Europea y Estados Unidos, es la restauración ^[3] del Comité Estatal Electoral a un estado de funcionamiento bueno y honesto. También requiere una «depuración» del registro de electores que garantice que solamente las personas con derecho a votar puedan hacerlo. La primera investigación oficial que el Fiscal Público Especial inició ^[4] se refirió a la creación de «votantes fantasmas», así como votos en nombre de ciudadanos fallecidos o ausentes ^[5].

El aplicativo web que permite a los ciudadanos verificar si están en el registro de votantes ha estado activo durante años. Se suponía que el Comité Estatal Electoral debía depurar su base de datos, pero como descubrió la programadora de software Kalina Zografska, eso solamente hubiera resuelto parte del problema.

Kalina Zografska. Photo used with her permission.

^[6]

Kalina Zografska. Foto usada con su autorización.

La mañana del 10 de febrero, Zografska publicó una entrada en su blog titulada «¿Te gustaría tener una copia del registro de votantes? ¡Haz clic aquí! ^[7]«, donde informaba que había descubierto un fallo que «deja al registro de votantes libre para la captura de información personal, incluyendo información delicada de todos los ciudadanos, como números únicos de identificación, nombres, zona de domicilio» en el sitio web oficial del ente gubernamental.

En la entrada de su blog, Zografska explicó que el aplicativo utiliza una URL muy simple para desplegar los datos de los ciudadanos, ingresando el Número Único de Identificación ^[8]. En todos los países de la antigua Yugoslavia, este número de identificación tiene un formato fijo predecible que consiste en la fecha de nacimiento y otros elementos básicos. Por lo tanto, una secuencia simple puede accionar el aplicativo con solicitudes usando parámetros cambiados y extraer información de todos los ciudadanos.

Este número de identificación consiste de 13 dígitos en la forma de «DD MM AAA RR BBB K» (sin espacios en blanco), donde «DD MM AAA» es día de nacimiento, «RR BBB» se refiere a la región de nacimiento o registro y sexo, y K es comprobación. Como el aplicativo del Comité Electoral Estatal usó el formato URL de ‘http://electorallist.gov.mk/Found.aspx?value= [ ID Number format ]’ un software simple puede intentar todas las combinaciones de número de identificación para las fechas de los últimos 80 años o más, y extraer datos para los «aciertos» que coinciden con identificaciones reales de ciudadanos.

Иако официјалната форма е навидум зад captcha, со околку 2мин на страницава со view source се наоѓа голиот линк.

Ова остава простор за:

со погодување на нечиј МБ, да се добијат податоци за живеење

бизниси да таргетираат возрасни групи, да добијат информации со место на живеење на сите нивни потенцијални клиенти

партии, лоби и бизнис групи да имаат копија од избирачкиот список во и да прават таргетирано и персонализрано комуницирање со гласачите

итн.

Грешката е на многу аматерско ниво од аспект на професионални принципи на работење со лични податоци на отворен веб. Грешката е противзаконска на Законот за заштита на лични податоци. И не е грешка од Државната изборната комисија која се појавува првпат ^[9].

Ни требаат податоци и системи на кои може да им веруваме и заштита што е загарантирана, како минимум.

Aunque el formulario oficial aparentemente está protegido por un formato captcha, se puede encontrar el enlace vacío en dos minutos con la opción «ver fuente».

Esto abre la posibilidad de:

adivinando el número de documento de identidad de alguien, se puede obtener información de su domicilio

las empresas pueden dirigirse a grupos de edad, obtener información de ubicación de potenciales clientes

partidos políticos, grupos de influencia e intereses empresariales pueden conseguir una copia de los electores y realizar comunicación dirigida y personalizada con los electores

etc.

El contratiempo es bastante amateur desde la perspectiva de los principios profesionales del trabajo con información personal en la web abierta. Está en contra de la Ley de Protección de Datos Personales. Y no es la primera vez que el Comité Electoral Estatal ha cometido errores así ^[9].

Necesitamos información y sistemas en los que podamos confiar, que garanticen una protección como mínimo.

La Ley sobre Protección de Datos Personales ^[10] de Macedonia, adoptada en 2005, se basa en las directivas relacionadas de la Unión Europea y está de acuerdo con las normas de protección de datos de la Unión Europea. Requiere que los controladores de información ^[11], como instituciones de gobierno, tomen medidas para garantizar la protección de la información privada de los ciudadanos que guardan y procesan. En particular, información como el Número Único de Identificación, nombre o dirección gozan de protección legal al más alto nivel.

Zografska anunció sus hallazgos en el tuit de abajo, y causó revuelo en línea, con una ráfaga de de retuits y menciones de los perfiles de las instituciones del estado.

Сакате копија од избирачки список? Клик овде! https://t.co/Jkr1qer0Mj ^[12]

— Kalina Zografska (@kzograf) February 10, 2016 ^[13]

¿Te gustaría tener una copia del registro de votantes? ¡Haz clic aquí!

A unas horas de la publicación de la entrada del blog, el Comité Electoral Especial cerró el acceso al aplicativo del registro de votantes. El botón que invita a los ciudadanos a verificar si están en la lista de votantes sigue estando en la página de inicio de su sitio web ^[14], pero al hacerle clic solamente redirige a la misma página.

Screen shot of Macedonian State Election Commission website. The dysfunctional button for Electoral List app is on the left within the field with blue background.

^[15]

Captura de pantalla del sitio web del Comité Estatal Electoral de Macedonia. El botón que no funciona para el aplicativo del registro de votantes está a la derecha en el campo con fondo azul.

Cuando periodistas de la organización independiente de medios Meta.mk preguntaron al Comité Electoral Estatal por qué el aplicativo era ahora inaccesible, la respuesta inicial ^[16] fue que «hay algún problema con la conexión a internet». Una semana después, el 17 de febrero, con el aplicativo aún sin funcionar, Meta.mk volvió a preguntar. Esta vez, el comité admitió ^[17] que la lista está «actualmente fuera de línea por un problema de seguridad». Funcionarios del gobierno no brindaron detalles sobre si el problema es el señalado por Zografska, pero agregaron que su departamento de informática está elaborando nuevas maneras para que los ciudadanos confirmen su presencia en el registro de votantes.