El sistema de la DGT de consulta de puntos del carnet de conducir, no es legal

El sistema que ofrece la DGT en su página web para que el ciudadano pueda consultar sus puntos del carnet fue declarado ilegal por la Agencia Española de Protección de Datos al no garantizar la privacidad de los datos accesibles. No obstante, los responsables del sistema en la DGT afirman que no les consta que nadie haya hecho un uso perverso del sistema, por lo que no lo van a cambiar.

¿Porque el sistema de consulta de puntos del carnet de conducir vulnera la LOPD?

Veamos, para consultar los puntos hay dos vías: la que utiliza el Certificado Digital y la que no. Los problemas vienen por la segunda vía.

Si decides consultar tus puntos sin utilizar certificado digital deberás seguir estos pasos:

  • Entra en https://apl.dgt.es/WEB_COPACI/consultarPuntos.faces
  • Introduce el NIF.
  • Introduce la fecha de expedición de tu primer carnet de conducir.

Si tu NIF coincide con la fecha, el proceso continúa:

  • Introduce tu n° de teléfono y la dirección de correo electrónico
  • Recibirás en el correo electrónico facilitado la clave de acceso para consultar los puntos.

Pero ¡ojo!, que si tu cuenta de mail es del tipo gratuito -como por ejemplo, Hotmail- es posible que el correo no te llegue o se quede en la carpeta de Correo Electrónico No Deseado –Spam-, por eso debes revisar esa carpeta o incluir entre tus contactos la dirección de correo desde la que te contesta la DGT: no_responder@dgt.es

Todos aquellos que tengamos carnet de conducir estamos dados de alta en el sistema y sometidos a exposición pública, es decir, unos 25 millones de ciudadanos.

El problema, según la Agencia Española de Protección de Datos, se encuentra en la primera fase del proceso: NIF + fecha.

Si queremos fisgar los puntos de cualquier persona sólo debemos conocer su NIF y luego “descubrir” la fecha, que a estos efectos, haría las veces de “contraseña”.

Ahora bien, ¿cuántas combinaciones posibles de “fechas” puede tener un ciudadano medio? Pocas, y menos aun si conoces aproximadamente la edad del conductor, ya que lo habitual es sacarse el carnet entre los 18 y los 25 años de edad.

Si nos encontramos en este último supuesto, estamos hablamos de un total de unas 3.650 combinaciones posibles como máximo, menos si quitamos domingos y festivos, ya que no sería posible haber obtenido el carnet en uno de esos días.

En la era de informática y la automatización, el atacante no estaría toda la mañana probando una a una esas 3.650 combinaciones sino que con un pequeño programa de rastreo o utilizando algunos plugins para el Firefox, conseguiría que el ordenador lo hiciera por él a velocidad ultra-rápida; porque 3.650 combinaciones sería posible probarlas en menos de 15 minutos.

Por supuesto –gran fallo- no hay un límite máximo de intentos fallidos al introducir la fecha de expedición, por lo que tenemos intentos ilimitados.

Una vez obtenida la fecha de expedición, nos pedirá una dirección de correo electrónica, así que indicamos la que nos acabamos de abrir en Hotmail a nombre de Batman; recibiremos la contraseña de acceso y ya podremos consultar los puntos del carnet de quien queramos. Es más, si el usuario ya tenía su contraseña para el sistema, ésta se cambiará automáticamente por la que acabamos de recibir.

Pero podemos hacer algo más interesante, quedarnos en la primera parte del proceso. Y es que cuando introducimos el número de NIF válido + la fecha válida, el sistema inmediatamente nos muestra el nombre y apellidos de esa persona. Un usuario malintencionado podría dejar durante varios días funcionando una aplicación para hacer una base de datos de NIF + Nombre + Apellidos + Fecha del carnet de conducir.

La AEPD podría inmovilizar ese tratamiento de datos…, ¿alguien se anima a requerirlo expresamente?

Desde Rastreator.com te aconsejamos que tengas al día tu seguro de coche para que no te quiten mas puntos.


COMPARAR SEGUROS DE COCHE

Rastreator Rastreator.com


Seguro que te interesa...