“No es un fallo de seguridad, es de implementación del acceso, que está basado en datos que son fáciles de conseguir”
Con el NIF, el número de teléfono de una persona y un poco de paciencia, cualquiera puede saber el nombre completo de esta, lo que cobra de paro y hasta la cuenta del banco donde se lo ingresan. La web del Servicio Público de Empleo Estatal (SEPE) pide una clave de sólo dos dígitos que, además, no se bloquea cuando se introducen combinaciones una y otra vez para entrar en el expediente personal de los 2,8 millones de parados que actualmente cobran la prestación por desempleo. Tanto el Ministerio de Trabajo como la Agencia Española de Protección de Datos (AEPD) consideran, sin embargo, que el sistema es seguro.
Las distintas administraciones ofrecen a los ciudadanos la posibilidad de acceder a la mayoría de sus servicios y gestiones desde internet usando el DNI electrónico o un certificado digital. Así lo hacen la Seguridad Social y la Agencia Tributaria. Pero esta última también tiene habilitada una tercera vía en la que pide el NIF, el primer apellido y un número de referencia que sólo conoce el contribuyente.
Para consultar las prestaciones por desempleo, el SEPE exige también el DNI electrónico o un certificado digital. Pero ofrece una tercera alternativa llamada Datos de Contraste. Estos son el NIF, el número de teléfono y una clave de dos cifras que sólo va del 00 al 99 y se corresponde con el dígito de control (el popular DC) de la cuenta bancaria.
Una vez dentro, se pueden conocer las prestaciones recibidas además de gran número de datos personales, como nombre y apellidos, número de la Seguridad Social o estado civil. También aparece la cuenta bancaria dada para recibir la prestación, nombre del banco incluido.
Fuente: http://rsanblog.wordpress.com/
