El blog de Carlos Díaz-Pache » DGT

Entradas etiquetadas: DGT

La DGT permite acceder a los datos del pago de las multas de otras personas

Dirección General de Tráfico

Dirección General de Tráfico

Otra vez es Samuel Parra el que nos avisa de un nuevo error en la web de la DGT. En este caso, el sistema permite conocer los sancionados por multas de tráfico y los datos del pago de las multas.

La Dirección General de Tráfico está acumulando una serie de errores en su sede electrónica que amenazan con estigmatizar sus sistemas y minar su reputación. Hace poco conocíamos que la Agencia Española de Protección de Datos había la sancionado por incumplir la ley con su aplicación de consulta de los puntos del carnet, y que a pesar de ello no tenían intención de modificar la aplicación.

Lo que conocemos ahora es un modo sencillo de acceder a los datos de los justificantes de pago de las multas de tráfico. Para ello solo tenemos que conectarnos a la siguiente dirección:

https://apl.dgt.es/WEB_Sanciones/jsp/recibo/introducirNumeroRecibo.jsf

A continuación, sin solicitar ningún tipo de identificación mediante usuario/password, certificado digital o DNI electrónico, se solicita el número de registro del recibo de pago. Ese número de registro tiene un formato similar a “2010005000113***”. Los cuatro primeros dígitos corresponden al año, y los últimos seis son números secuenciales. Solamente introduciendo este dato, se nos ofrecerá un documento en formato PDF con la siguiente información:

  • Nombre y apellidos (o razón social)
  • DNI/NIE
  • Número de expediente sancionador
  • Fecha de pago
  • Importe de la sanción
  • Número de autorización de la tarjeta
  • Número de operación

Deduciendo el formato de este número, y probando con los números anteriores o posteriores al de nuestra sanción, nos encontramos con los resguardos de otras personas, con sus datos abiertos y sin ningún tipo de protección.

Esto supone, a todas luces, una nueva vulneración de la LOPD, que en sus artículos 9 y 10 establecen que el responsable del fichero debe establecer las medidas técnicas necesarias para garantizar la seguridad de los datos y tiene el deber de guardarlos y mantener su secreto.

Habiendo leyes que regulan desde hace tiempo este tipo de cuestiones (LOPD, LAECSP, Ley 59/2003 de firma electrónica, Esquema Nacional de Seguridad, etc.), habiendo especialistas en informática, en administración electrónica, en legislación de protección de datos, existiendo el Consejo Superior de Administración Electrónica, habiéndose implementado sistemas seguros en otras administraciones (tanto de la AGE como de las administraciones regional y local), llama poderosamente la atención que aparezcan todavía sistemas sin ningún tipo de seguridad y que incumplen de manera tan clara estas normas.

Quizás sea por el hecho de que la Administración pueda decir que no va a modificar un sistema que la AEPD ha declarado ilegal, y aquí no pase nada.

Tráfico infringe la ley con la consulta de los puntos del carnet y no piensan cambiarlo

Permiso por puntos

Permiso por puntos

Leo en el blog de Samuel Parra que la Dirección General de Tráfico fue advertida hace un año por la Agencia Española de Protección de Datos de que su sistema para la consulta de los puntos del carnet de conducir no cumplía la Ley Orgánica de Protección de Datos de caracter personal.

Resulta que los únicos requisitos para poder consultar los puntos son conocer el DNI y la fecha de expedición del carnet, no disponiendo la aplicación de un sistema de control de intentos fallidos. Este hecho posibilita que un simple script puede obtener el saldo de puntos de cualquier persona únicamente contando con el número del DNI, que es un dato que es habitualmente fácil de conseguir.

En su resolucion 00372/2009 (PDF), la AEPD advierte que

Ha quedado acreditado que la Dirección General de Tráfico incumplió esta obligación, toda vez que desde su página web se permite el acceso de cualquier persona al saldo de puntos de cualquier titular de un permiso de conducir, con sólo insertar el número del permiso y la fecha de expedición del mismo. Es decir, la Dirección General de Tráfico incumplió las medidas de seguridad al posibilitar que, por parte de terceros, se pudiera acceder a través de la página web, a datos personales de titulares del permiso de conducción asociado al saldo de puntos relativos a dicho permiso.

La DGT, por lo tanto, comete una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de de la citada Ley Orgánica.

Pero lo malo no es que la DGT incumpla la ley. Admitiría que, por desconocimiento o por torpeza, hayan diseñado o implementado un sistema que no sea lo suficientemente seguro y que, por lo tanto, exponga datos privados a todos. Lo realmente grave es que, a pesar de las advertencias, a pesar del requerimiento oficial de la AEPD para que “adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 9 de la LOPD“, a pesar de todo ello, la DGT se niegue a modificar el sistema.

El responsable de informática de la DGT, Luis de Eusebio, declaró en una entrevista en El Mundo, que “Cualquier rectificación iría contra la comodidad actual de los conductores“, argumento que le sirve para justificar la transgresión de la ley. Según manifiesta en la entrevista, “Sólo ve como alternativas exigir certificado digital a quien pretenda acceder a su saldo de puntos o deshacer el camino virtual y abrir ventanilla en las jefaturas de Tráfico a las consultas para puntos. La primera opción la considera difícil; la segunda, imposible.

Cuando el responsable de informática de un organismo público ve muy difícil la utilización de un certificado digital (¿qué pasa con el DNI-e?) y justifica con la comodidad el incumplimiento de la ley, se explica el retraso de la administración pública en la utilización de una tecnología que hace más fácil la vida a los ciudadanos y retrata a todo el organismo al que representa.

Panorama Theme by Themocracy