Diario de un perito: extraigo datos personales de documentos públicos

Peritajes informáticos, OSINT y auditorías.

Diario de un perito: extraigo datos personales de documentos públicos

febrero 23, 2022 Blog 0

Durante los últimos años, algunos medios de comunicación especializados se han ido haciendo eco de diferentes fallos y vulnerabilidades en el tratamiento de los datos por parte de las administraciones y organizaciones públicas.

Medios de comunicación como Xataka o ADSL Zone, a principios del año 2019, empezaron a hacerse eco de las capturas que un usuario con nombre @DigitalReasearchTeam empezó a publicar en su cuenta de Twitter.

En ella, analizaba y exponía a las administraciones, dejando ver cómo en documentos y PDFs públicos, los órganos estatales dejaban ver datos como nombres, apellidos, direcciones, DNIs y demás información administrativa de personas.

En su momento, Twitter actuó rápido y cerró esta cuenta, pero ya era demasiado tarde, pues los medios de comunicación se hicieron eco. Ahora, recuperando esta noticia y sabiendo que han pasado tres años desde que se publicó, nos preguntamos lo siguiente: ¿se han puesto las pilas las administraciones o sigue siendo igual de fácil extraer datos personales de documentación pública y montar una NSA casera desde tu portátil?

Vamos a analizar brevemente hasta qué punto las administraciones exponen fácilmente datos de personas. Para ello, simplemente haremos búsquedas con Dorks en Google y luego haremos un breve croquis de las diferentes herramientas que necesitaríamos para crear nuestro pequeño centro de inteligencia.

ÍNDICE. No pierdas el tiempo y accede directamente al contenido que te interesa.

¿Cuántos PDFs con DNIs son públicos?

Accediendo con nuestro navegador favorito en Google insertamos el siguiente DORK: site:dominio.com filetype:pdf intext:”dni”

Cambiando “dominio.com” por el dominio de la web que queramos analizar, vamos a ir uno a uno obteniendo los resultados de las siguientes páginas:

juntadeandalucia.com

42.500 resultados entre los cuales podemos encontrar miles de datos de diferentes personas. Listado Provisional del personal excluido en el Procedimiento Selectivo para acceso al Cuerpo de Inspectores de Educación, listados de sustitutos en centro educativos, subvenciones de consejerías, modelos de diplomas, adjudicaciones, etc.

sevilla.org

1.360 resultados donde, sobre todo, encontramos PDFs de los jóvenes que han pedido trabajo al ayuntamiento a través del programa emplea joven de Sevilla. Podemos encontrar, incluso, hasta la información de los elegibles a ser agentes de la Policía Municipal de Sevilla.

Páginas web del Gobierno de España

54.700 resultados, ni más ni menos. Lo que más nos sorprende es la cantidad de información de todo tipo que hay. Desde listados de personas reclutadas por el ministro de defensa, convocatorias de personal laboral para embajadas, adjudicaciones de ministerios, etc.

Trabajo fácil para los especialistas en OSINT

Si manualmente podemos encontrar toda esta documentación, con herramientas específicas OSINT como Dante’s Gates, la cosa se vuelve mucho más seria.

A través de DG, una herramienta que se encarga de analizar, añadiéndole el nombre, el apellido y el país de alguien a su sistema, la información que existe de él en Internet, se convierte en algo sencillo encontrar datos personales de cualquier persona que ha tenido algún tipo de relación con la administración pública.

Por ejemplo, si Dante’s Gates busca a un funcionario público, la facilidad de esta herramienta para encontrar a una persona es tremenda: encontrará su nombre en cualquier BOE o documento público en el que aparezca e, inmediatamente, nos proporcionará un informe con su DNI. Teniendo el DNI, encontrar más información de alguien se vuelve algo sencillo.

Conclusiones

Como hemos podido ver, no es requerido un alto nivel técnico para realizar un breve análisis y responder qué archivos filtran información personal en las diferentes entidades públicas.

Toda la información que se ha mostrado es pública. Cualquier usuario con un mínimo conocimiento en búsquedas avanzadas con buscadores lo puede encontrar. El siguiente paso es descargar todo los archivos PDFs. Para ello, tampoco habrá que tener un gran conocimiento informático, ya que con la aplicación “wget” y usando bien los parámetros se podrá hacer de forma automática.

Tras el análisis se puede concluir que estas páginas webs y muchas otras de la Administración no disponen de medidas y mucho menos preocupación por los datos de personas que están públicos, sin limitación y control de acceso.

Estos son algunos de los ejemplos que se han mostrado en este artículo:

  • Listado de jóvenes que han pedido una ayuda de trabajo
  • Listado con nombres, apellidos y DNI asociado con discapacidad
  • Listado de convocatorias de personal laboral en embajadas de España
  • Listado de nombres, apellidos y DNI de policías

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.