El voto online de Decide Madrid se puede falsear
Esta semana se ha puesto en marcha la primera votación ciudadana de Madrid. En ella se invita a los empadronados en Madrid, mayores de 16 años, a votar en relación con el futuro de la Gran Vía y Plaza de España, decidir políticas sobre seis distritos diferentes, el billete intermodal y cuestiones relativas a la sostenibilidad en la ciudad, entre otros. Esta votación se puede hacer de forma presencial, o bien a través de Internet. ¿El problema? Que puedes ejercer tu propio voto o el de otros. Hay un grave fallo en el sistema.
¿Quieres votar por otra persona en la votación ciudadana de Madrid? Pues en contra de como debería ser, puedes hacerlo. Hay un grave fallo en el sistema de identificación que deja una puerta abierta a usar la identidad de otra persona para ejercer el voto online.
Concretamente, lo que necesitamos es un correo electrónico – el que sea – y el DNI, fecha de nacimiento y código postal de alguien aún no registrado. No hace falta ningún otro dato para ‘robarle’ el voto a cualquier otra persona que esté empadronada en Madrid y sea mayor de 16 años, puesto que son las condiciones básicas.
Decide Madrid se deja la puerta abierta: puedes votar por otros, y pueden votar por ti
El proceso de registro para poder hacer el voto online pasa por introducir los datos de identificación básicos en la página de alta, y confirmar el correo electrónico revisando la bandeja de entrada. Hasta aquí, para ‘robar’ el voto, lo que habríamos hecho es poner todos nuestros datos salvo el nombre, donde se puede poner cualquier dato puesto que no es de relevancia, es sólo un nombre de usuario.
A partir de aquí es donde empieza el grave fallo del sistema: en Mi cuenta, en la parte superior derecha, aparece el botón Verificar mi cuenta, donde a priori cada cual debería rellenar sus datos personales de residencia, entre otros, para comprobar la identidad y el empadronamiento. Y sí, un móvil se utiliza como ‘sistema de seguridad’ para recibir un SMS con un código pero podemos poner el nuestro que no va a saltar ninguna ‘alerta’, en lugar del móvil de la ‘víctima’.
En este paso anterior, el de identificación de la cuenta, es donde además hay que introducir el DNI. En el caso de poner la dirección y código postal de otra persona e introducir también su número de DNI, el sistema permite el voto sin mayor medida de seguridad. Es decir, que cualquiera puede votar en nombre de otra persona teniendo tales datos puesto que la seguridad para la identificación inequívoca del votante no se cumple.
Via: www.adslzone.net