"Francisco Polo tuvo conocimiento en todo momento del agujero de seguridad de Change"

“Change hace una interpretación diferente a la nuestra del Reglamento General de Protección de Datos (GDPR, por sus siglas inglesas) y será la Agencia Española de Protección de Datos (AEPD) quien tenga la última palabra”. Con estas palabras resume un portavoz de Facua- Consumidores en Acción, a CSO España, la contienda que se ha desatado tras la denuncia de la asociación a la mayor plataforma de peticiones de ciudadanos del mundo por la brecha de seguridad que se ha dado a conocer en las últimas horas y de la que Change no quiere dar parte a los afectados. Ésta se basa en que cualquier persona podía suplantar la identidad de los usuarios con solo introducir un nombre y un apellido (falsos) y una dirección de correo electrónico dada de alta en la plataforma. Una vez realizado este paso, el servicio revelaba los datos reales de los usuarios, así como su localidad, profesión y fotos de perfil. El intruso podía firmar peticiones y hacer comentarios en nombre del suplantado. El agujero ha estado abierto durante seis años.

Por una parte, aseguran desde Facua, el Reglamento es muy claro en cuanto a los supuestos en los que hay que informar a los usuarios. Además, esgrimen, y aunque ya se haya puesto fin al error, la plataforma no va a borrar las peticiones y los comentarios que han sido objeto de suplantación durante este tiempo. “La empresa, por tanto, solo ha subsanado el problema de manera parcial”. Con el agravante, denuncian, de que cualquier usuario podía aparecer vinculado a peticiones relacionadas con reivindicaciones contrarias a sus creencias u opiniones públicas.

Un agujero del que había conocimiento

Uno de los puntos de mayor polémica es que Change sabía del fallo desde hace años y solo se ha interesado por él tras la comunicación con Facua y la posterior denuncia. Este hecho afecta de lleno al actual Secretario de Estado para el Avance Digital, Francisco Polo, quien dirigió la plataforma en España desde 2011 (una vez que se fusionó con Actuable, de la que era CEO) hasta 2017. “Polo conocía lo que estaba ocurriendo, fue preguntado incluso por ello, y le restó importancia”, afirma el portavoz. “Una cosa es quitarle hierro a la cuestión y otra distinta es no hacer nada para corregir el agujero, que dejó abierto hasta que dejó la empresa”. Esta publicación ha tratado de ponerse en contacto con el político aunque ha rehusado hacer algún tipo de declaraciones sobre el tema.

Ahora, quedan en entredicho todos los hitos que ha conseguido la plataforma en todos estos años. Alguno tan sonado como el cambio de la Ley de espectáculos de la Comunidad de Madrid tras la tragedia del Madrid Arena en 2013. “En cualquier caso, el concepto de validez en sus conquistas es relativo porque no se trata de recogidas de firmas electrónicas asequibles desde el punto de vista legal (no se incluye el DNI), sino que son interesantes desde el prisma de la reivindicación”. Eso sí, vuelve a insistir el portavoz, y a pesar de la actividad que realiza la plataforma, “debería haber salvaguardado al máximo posible los protocolos de seguridad”.

Preguntados por si muchas de las peticiones han podido estar infladas, desde la asociación responden que sí, “aunque es imposible saber en qué cuantía. Y Change probablemente también desconoce este dato, pero lo que si conoce es en cuántos casos se ha firmado por ciudadanos que no estaban dados de alta en la plataforma con su usuario y contraseña”.

Change responde

Este medio también ha tratado de ponerse en contacto con Change y desde su departamento de comunicación remiten al comunicado oficial que fue lanzado ayer. En él dicen que cuentan con 200 millones de usuarios globales y, aunque hay casos en los que sus servicios pueden ser mal utilizados, desde 2017 se han recibido menos de 20 solicitudes de sus usuarios reportando este problema.

Asimismo, y como se ha citado, la plataforma, sin dar argumentos, no cree haberse saltado los preceptos de GDPR. “Ante todo, queremos garantizar a nuestra comunidad su seguridad y la protección de su privacidad”, aducen. Desde el 21 de noviembre, fecha en que Facua le comunicó la incidencia, han tomado medidas para que los usuarios ya no puedan entrar en la plataforma sin la “verificación adecuada”.

Una brecha extensible a todo el globo

Facua tuvo conocimiento por primera vez de la brecha cuando recibió una denuncia de un usuario en 2013, por lo que la compañía debía saber desde ese mismo año el problema. “Realmente, los responsables de la empresa tenían que saberlo desde el principio de su funcionamiento porque forma parte de un protocolo básico de recogida de firmas. De todos modos, ese año ya hubo advertencias a la empresa”.

Change opera en hasta 18 geografías y parece que todas pueden ser partícipes del agujero de seguridad ya que este error se ha corregido desde Estados Unidos y que la plataforma de España solo se encarga de las labores de comunicación, gestión, difusión y promoción de campañas. Desde un punto de vista más jurídico, Moisés Barrio, abogado experto en TI, expresa, a pesar de lo que pueda llegar a decidir la AEPD, que este caso hace un daño de reputación en su mayor parte por cuanto que las peticiones de Change se canalizan fundamentalmente a través del Derecho de Petición reconocido en el artículo 29 de la Constitución Española y que permite a toda persona dirigirse a los poderes públicos para hacerles conocer un hecho o un estado de cosas y reclamar su intervención. “En España no somos plenamente conscientes de lo importante que es prevenir y combatir el ciberriesgo de forma multidisciplinar, desde los expertos hasta los abogados”, expresa. “El nuevo paradigma de la responsabilidad proactiva, ya obligatorio en protección de datos y materia penal, requiere que las organizaciones dispongan de los correspondientes manuales de prevención de riesgos y protocolos de crisis en perfecto estado de revista y adaptados a la medida de que cada entidad concreta. No sirven formularios estereotipados”.