Diario de un perito: extraigo datos personales de documentos públicos

Durante los últimos años, algunos medios de comunicación especializados se han ido haciendo eco de diferentes fallos y vulnerabilidades en el tratamiento de los datos por parte de las administraciones y organizaciones públicas.
Medios de comunicación como Xataka o ADSL Zone, a principios del año 2019, empezaron a hacerse eco de las capturas que un usuario con nombre @DigitalReasearchTeam empezó a publicar en su cuenta de Twitter.
En ella, analizaba y exponía a las administraciones, dejando ver cómo en documentos y PDFs públicos, los órganos estatales dejaban ver datos como nombres, apellidos, direcciones, DNIs y demás información administrativa de personas.
En su momento, Twitter actuó rápido y cerró esta cuenta, pero ya era demasiado tarde, pues los medios de comunicación se hicieron eco. Ahora, recuperando esta noticia y sabiendo que han pasado tres años desde que se publicó, nos preguntamos lo siguiente: ¿se han puesto las pilas las administraciones o sigue siendo igual de fácil extraer datos personales de documentación pública y montar una NSA casera desde tu portátil?
Vamos a analizar brevemente hasta qué punto las administraciones exponen fácilmente datos de personas. Para ello, simplemente haremos búsquedas con Dorks en Google y luego haremos un breve croquis de las diferentes herramientas que necesitaríamos para crear nuestro pequeño centro de inteligencia.
ÍNDICE. No pierdas el tiempo y accede directamente al contenido que te interesa.
¿Cuántos PDFs con DNIs son públicos?
Accediendo con nuestro navegador favorito en Google insertamos el siguiente DORK: site:dominio.com filetype:pdf intext:”dni”
Cambiando “dominio.com” por el dominio de la web que queramos analizar, vamos a ir uno a uno obteniendo los resultados de las siguientes páginas:
juntadeandalucia.com

42.500 resultados entre los cuales podemos encontrar miles de datos de diferentes personas. Listado Provisional del personal excluido en el Procedimiento Selectivo para acceso al Cuerpo de Inspectores de Educación, listados de sustitutos en centro educativos, subvenciones de consejerías, modelos de diplomas, adjudicaciones, etc.

sevilla.org

1.360 resultados donde, sobre todo, encontramos PDFs de los jóvenes que han pedido trabajo al ayuntamiento a través del programa emplea joven de Sevilla. Podemos encontrar, incluso, hasta la información de los elegibles a ser agentes de la Policía Municipal de Sevilla.



Páginas web del Gobierno de España

54.700 resultados, ni más ni menos. Lo que más nos sorprende es la cantidad de información de todo tipo que hay. Desde listados de personas reclutadas por el ministro de defensa, convocatorias de personal laboral para embajadas, adjudicaciones de ministerios, etc.




Trabajo fácil para los especialistas en OSINT
Si manualmente podemos encontrar toda esta documentación, con herramientas específicas OSINT como Dante’s Gates, la cosa se vuelve mucho más seria.
A través de DG, una herramienta que se encarga de analizar, añadiéndole el nombre, el apellido y el país de alguien a su sistema, la información que existe de él en Internet, se convierte en algo sencillo encontrar datos personales de cualquier persona que ha tenido algún tipo de relación con la administración pública.

Por ejemplo, si Dante’s Gates busca a un funcionario público, la facilidad de esta herramienta para encontrar a una persona es tremenda: encontrará su nombre en cualquier BOE o documento público en el que aparezca e, inmediatamente, nos proporcionará un informe con su DNI. Teniendo el DNI, encontrar más información de alguien se vuelve algo sencillo.
Conclusiones
Como hemos podido ver, no es requerido un alto nivel técnico para realizar un breve análisis y responder qué archivos filtran información personal en las diferentes entidades públicas.
Toda la información que se ha mostrado es pública. Cualquier usuario con un mínimo conocimiento en búsquedas avanzadas con buscadores lo puede encontrar. El siguiente paso es descargar todo los archivos PDFs. Para ello, tampoco habrá que tener un gran conocimiento informático, ya que con la aplicación “wget” y usando bien los parámetros se podrá hacer de forma automática.
Tras el análisis se puede concluir que estas páginas webs y muchas otras de la Administración no disponen de medidas y mucho menos preocupación por los datos de personas que están públicos, sin limitación y control de acceso.
Estos son algunos de los ejemplos que se han mostrado en este artículo:
- Listado de jóvenes que han pedido una ayuda de trabajo
- Listado con nombres, apellidos y DNI asociado con discapacidad
- Listado de convocatorias de personal laboral en embajadas de España
- Listado de nombres, apellidos y DNI de policías

10 años de experiencia en forense informático y OSINT. Apasionado de la ciberseguridad y programación en Python. Desde muy joven empecé a trabajar en el sector de la informática y terminé creando mi propia empresa, llamada QuantiKa14. Actualmente soy CTO del grupo Lazarus Technology y realizo diferentes labores y trabajos: DFIR, peritajes informáticos, desarrollo de aplicaciones y auditoría de seguridad. También he realizado ponencias en congresos y eventos como PyConEs, OpenExpo, Hack&Beers, EastMadHack, Sec/Admin, etc. Y soy socio 116 y vocal de la Asociación de Peritos Tecnológicos de Andalucía (APTAN).
Mi lado divulgador no se queda únicamente en dar charlas, también he estado 4 años como colaborador en Canal Sur Radio y he escrito varios artículos de opinión e investigación en Internet que se han publicado en diversos medios (ElPlural, lamarea.com, etc). Además he escrito más de 400 artículos en mi blog. Fundador de la comunidad con más actividad en Sevilla sobre ciberseguridad, Happy Hacking Sevilla y co-organizador del congreso de inteligencia, ciberseguridad y OSINT, llamado OSINTCITY.
Director del curso de verano sobre ciberdelincuencia de género y profesor en el curso de detectives en la Universidad Pablo de Olavide en el año de 2017 sobre investigación digital. También he impartido formación a cuerpos de seguridad a través de la Escuela Pública de Seguridad Pública de Andalucía (ESPA) y otros cursos.
Co-autor del primer protocolo institucional en España ante la violencia de género en las redes sociales en Andalucía y autor del protocolo de actuación para la búsqueda de personas desaparecidas a través de las TIC.
Y, sobre todo, de Triana.
administración Ciberseguridad Dante's Gates Telegram Bot datos públicos fallos de seguridad funcionarios Jorge Coronado peritaje informático