|
Estas semanas
saltó a la palestra la recogida de
firmas que el Partido Popular está llevando en su sitio web para
intentar promover un referéndum a nivel nacional sobre el estatuto de
Cataluña. Dejando muy al lado las consideraciones políticas o legales de
esa iniciativa, lo que nos ha llamado la atención ha sido el modo en el
que se ha pretendido llevar esta iniciativa. Sobre todo, en el campo de la
fiabilidad de la misma.
El sitio presenta
un simple formulario en el que se introduce el nombre y el número de
Documento Nacional de Identidad, indicando con esta acción la intención de
apoyar la iniciativa. Es el modo en que muchas campañas se han
desarrollado por la Red, en apoyo de distintas iniciativas. Sin embargo,
es la primera vez (que yo sepa) que se intenta con este método el llevar a
cabo una iniciativa legal. De ahí que queramos ver un poco más en
profundidad los problemas de la recogida de firmas en Internet.
La única
comprobación que realiza la citada web antes de aceptar la firma es una
comprobación de que el número de DNI es válido. En España se incorporó al
número de DNI una letra para evitar errores en los números. La
comprobación se realiza comparando el resto de dividir por 23 el número
contra una lista de letras. La generación de números de DNI falsos, pero
correctos en cuanto estructura, es, pues, sencilla. Se generan números
aleatorios de 8 cifras y se calcula la letra.
Un fallo más en
la página de recogida de firmas está en que la comprobación la efectúa un
javascript en el navegador del usuario. Es así, fácil el saltarse esta
protección inyectando al script ASP que procesa el formulario la variable
con el dato del DNI que incluso no sea correcto a nivel de comprobación de
la letra.
Seremos buenos.
Vamos a suponer que, aparte de la comprobación en el lado del usuario, se
ha efectuado el mismo tipo de comprobación en el script de recepción. Con
ello, al menos sabríamos que el "firmante" se ha molestado en crear un DNI
con apariencia de correcto. Sin embargo, seguimos sin saber si ese DNI y
ese nombre se corresponde con una persona real.
Para evitar la
firma masiva (y falsa), se nos puede ocurrir que se podría permitir sólo
una firma desde cada dirección IP. Sin embargo, de esta forma dejaríamos
fuera a multitud de personas que quisieran firmar desde ordenadores
situados detrás de un proxy o dispositivo NAT. Por ejemplo, dejaríamos
fuera a los clientes de Telefónica (y compañías que usan la red de
Telefónica), ya que la IP que le aparecería sería la del proxy-caché. Aún
usando código modificado para evitar el problema de los proxies, los
dispositivos NAT que permiten el acceso de múltiples equipos con una única
IP pública solo presentarían esta. Y no olvidemos los ordenadores
compartidos, como los de los cibercafés, o los personales que usa toda la
familia.
La siguiente idea
que se nos podría ocurrir sería cruzar los resultados con el censo. Los
partidos políticos tienen acceso a los ficheros censales con objeto de
publicidad política en las elecciones. Si comparamos los DNI para ver si
están inscritos en el censo electoral, e incluso comparamos los nombres
con los que están inscritos en el censo con ese DNI, podemos descartar
multitud de datos falsos. Sin embargo, la Agencia de Protección de Datos
ya se ha
pronunciado en contra de esta práctica, por considerarla contraria a
la Ley Orgánica de Protección de Datos.
Seguiremos dando
opciones a los organizadores de la recogida de firmas. Vamos a suponer que
han cumplido con los requisitos que la APD les exige, que la ley ha sido
modificada para permitir el cruce de bases de datos y que han comprobado
(y filtrado) los nombres y DNI con los del censo. Ya tenemos un listado de
personas con nombre y DNI que creemos que apoyan nuestra iniciativa. Pero,
¿han sido estas personas las que han firmado?
Lo creáis o no,
es sencillísimo obtener listados de parejas nombre-DNI. No hace falta
asaltar una base de datos o introducirse en los sistemas del Estado. Con
acceder a los Boletínes Oficiales de las provincias o del Estado, o
incluso en la prensa diaria, se pueden obtener grandes listados de
personas emparejados por nombre-DNI. ¿No me creéis? Simplemente mirad los
listados de los resultados de las oposiciones, o de las pruebas de
selectividad. O las listas que publican los BOP con los infractores de
tráfico a los que no se ha localizado. Son miles de posibles "firmantes"
que se pueden incorporar.
Por supuesto, en
todo este proceso suponemos buena fe de los organizadores de la recogida,
ya que, si no, ellos mismos pueden seleccionar las firmas al azar del
censo.
¿No hay
soluciones, entonces, para recoger firmas por Internet? Según la
legislación española, si. La firma electrónica es legal desde el 2003, y
esa sería la forma de recoger de manera unívoca los apoyos. Sin embargo,
hasta ahora pocos han sido los que han obtenido el certificado en el que
se basa esta firma electrónica, y eso que el proceso es sencillo y
gratuito. La recogida de firmas tendría, entonces, un ámbito bastante
reducido.
Puede que la
solución pase por la próxima implantación del DNI electrónico, que
incorporará un certificado de firma electrónica. Sin embargo, varias
noticias recientes sobre el tratamiento de los datos del DNI por parte de
algunos funcionarios encargados de custodiarlos traen dudas sobre la
fiabilidad de este mecanismo.
En todo caso,
mientras no se mejore el sistema, deberemos tomar con pinzas los
resultados de cualquier recogida de firmas realizada en la Red.
Especialmente si queremos que tenga fuerza legal y no queremos ser objeto
de pitorreo.
Luisma..
Miembro de la AIH.
Esta obra está bajo una licencia de Creative Commons. | 
informativos.info 
Responder a este mensaje
