Una web de Trabajo permite saber qué cobra cada desempleado combinando dos dígitos

Con el NIF, el número de teléfono de una persona y un poco de paciencia, cualquiera puede saber el nombre completo de esta, lo que cobra de paro y hasta la cuenta del banco donde se lo ingresan. La web del Servicio Público de Empleo Estatal (SEPE) pide una clave de sólo dos dígitos que, además, no se bloquea cuando se introducen combinaciones una y otra vez para entrar en el expediente personal de los 2,8 millones de parados que actualmente cobran la prestación por desempleo. Tanto el Ministerio de Trabajo como la Agencia Española de Protección de Datos (AEPD) consideran, sin embargo, que el sistema es seguro.

Las distintas administraciones ofrecen a los ciudadanos la posibilidad de acceder a la mayoría de sus servicios y gestiones desde internet usando el DNI electrónico o un certificado digital. Así lo hacen la Seguridad Social y la Agencia Tributaria. Pero esta última también tiene habilitada una tercera vía en la que pide el NIF, el primer apellido y un número de referencia que sólo conoce el contribuyente.

El NIF, el número de teléfono y una clave de dos números dan paso al expediente
Para consultar las prestaciones por desempleo, el SEPE exige también el DNI electrónico o un certificado digital. Pero ofrece una tercera alternativa llamada Datos de Contraste. Estos son el NIF, el número de teléfono y una clave de dos cifras que sólo va del 00 al 99 y se corresponde con el dígito de control (el popular DC) de la cuenta bancaria.

Una vez dentro, se pueden conocer las prestaciones recibidas además de gran número de datos personales, como nombre y apellidos, número de la Seguridad Social o estado civil. También aparece la cuenta bancaria dada para recibir la prestación, nombre del banco incluido.

“No es un fallo de seguridad, es de implementación del acceso, que está basado en datos que son fáciles de conseguir”, dice el director de ePrivacidad , Samuel Parra. Sólo el dígito de control es relativamente secreto, pero al ofrecer tan sólo cien combinaciones sólo se necesita paciencia. Este abogado presentó una denuncia ante la AEPD contra el sistema del SEPE por incumplir las exigencias de la Ley de Protección de Datos.

La Agencia de Protección de Datos considera que cumple la normativa
Sin embargo, la Agencia acaba de resolver que el sistema es seguro. Trabajo se agarra a este dictamen. “La denuncia fue archivada y desestimada porque no se hallaron evidencias de que el sistema de control incumpliese los requisitos mínimos que exige la normativa”, explica un portavoz del Ministerio.

Para Parra, sin embargo, la AEPD basó su decisión en un informe técnico que “no ha debido de comprobar correctamente el sistema de acceso”. En efecto, la resolución explica que el mecanismo de acceso “ha previsto ciertas limitaciones al intento reiterado de accesos no autorizados”. Pero, como ha comprobado Parra y este periódico, no hay bloqueo ni al tercer intento ni al centésimo. El SEPE ya fue sancionado en 2008 por otro fallo similar que permitía conocer la vida laboral con sólo saber el DNI de la persona.

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con
info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies