Así se manipulan los votos de una campaña de HazteOir.org

| 6 octubre, 2016

Un fallo garrafal de seguridad en la web de campañas de HazteOir permite a cualquiera votar cientos de veces la misma petición. Lo demostramos grabando en tiempo real una votación masiva.

PEPO JIMÉNEZ. VOZ PÓPULI.- Hace un par de días el presidente de la asociación HazteOir.org, Ignacio Arsuaga, entregaba orgulloso a El Corte Inglés 21.000 firmas de clientes descontentos con su último anuncio protagonizado por unos padres gais.

Photo published for 21.000 clientes exigen a El Corte Inglés que respete el derecho a tener un padre y una madre -...

Un par de días después se apuntaba la victoria cuando los grandes almacenes decidieron retirar el anuncio a pesar de que otra campaña en Change.org sumaba más del doble de apoyos.

Lo que no ha explicado el jefe de la asociación ultracatólica, ni ningún medio que se haya hecho eco de la noticia es de dónde vienen esas firmas ¿De verdad eran clientes de El Corte Inglés?¿Qué legitimidad e importancia tienen en el contexto —no ya solo legal— sino como generador de opinión pública los votos salidos de una web?

Hay webs con experiencia y sistema de seguridad que aunque no infalibles ofrecen ciertas garantías. Luego está HazteOir.org

Lo primero que hicimos en Memesis es acudir a la famosa petición y estudiar el criterio de la web a la hora de recoger firmas para sus campañas. Nos encontramos con un sistema primitivo y nefasto carente de las más mínimas medidas de seguridad y control para filtrar, clasificar y exponer los votos de cada petición.

Las peticiones y campañas se pueden votar TANTAS VECES COMO QUIERAS, DESDE EL MISMO ORDENADOR y con la única restricción de poner un email distinto cada vez… y ni tan siquiera eso. Basta poner una combinación de caracteres con una @, como veremos más adelante.

No hay ningún captcha, ningún filtro para comprobar el email, ningún código enviado a tu email para verificarlo, ningún perfil de red social que sirva como identificación, ninguna medida para controlar nombres o la IP desde donde se realizan las votaciones masivas o si estas son automatizadas… eso sí, todos y cada uno de los votos computan en la cifra final pública.

Podéis comprobarlo vosotros mismos (hasta que lo arreglen) votando dos veces una misma campaña, con emails inventados y esperar 5 minutos a que el sistema lea los votos duplicados. Una auténtica chapuza.

Para hacer la prueba y que quede constancia de la nefasta seguridad y fiabilidad de las campañas de HazteOir hemos grabado en tiempo real una votación masiva manipulada a una de sus peticiones. Desde un solo ordenador, con una sola IP y comprobando como el contador público de la campaña aumentaba esos votos al poco tiempo.

La petición en su estado ORIGINAL (salvada en la web archive.is)  lleva inactiva desde hace 5 años. La web archive.is hace ‘fotocopias’ del estado de una web en un momento determinado. No es un pantallazo, salva el estado real cogiendo todos los archivos de ese momento. No se puede manipular. La campaña tenía solo 2 votos el 5 Octubre de 2016 a las 11:50, justo antes de iniciar nuestra acción.

Utilizando un generador de macros conocidísimo (se puede hacer a mano) fabricamos un bot (robot) que rellena automáticamente los campos del formulario: Nombre, Apellido e email necesarios en cada campaña, generando para cada uno una combinación aleatoria de letras absolutamente ilegible. Da igual, los votos se computan de la misma manera.

Hemos votado varias campañas con el mismo método (ANTES – DESPUÉS) y dejado pasar 24h para ver si es sistema ‘limpiaba’ nuestros votos. Pero no, ahí están. Para el ejemplo del vídeo seleccionamos una muy antigua y con pocas firmas y así poder visibilizar mejor nuestra acción, pero ninguna de las campañas tiene una protección especial y cualquiera pueden votarse —y manipularse— masivamente desde un solo ordenador.

Cualquiera que tenga los mínimos conocimientos de programación, PHP, Javascript y seguridad informática sabe que el sistema no cumple ninguno de los requisitos de seguridad que se tiene que exigir a una plataforma de opinión pública que se vende como “La web del ciudadano activo”. No es que falle la seguridad es que no hay implementada ninguna medida de cara a servidor.

Para dejar más pruebas del desastre salvamos en la plataforma normalizadaarchive.is el estado de la campaña ANTES de nuestra acción, justo DESPUÉS de ella con 10 firmas más y tras varios votos masivos que hicimos durante el día hasta su estado actual, tal y como la muestra HazteOir.org (hasta que la eliminen). Una campaña que llevaba parada más de 5 años y que de repente suma 300 votos más de la misma persona. Todo muy normal.

Si en un rato hemos generado 300 votos para una sola campaña, desde un solo ordenador ¿Cuántos votos pueden realizarse desde varios ordenadores coordinados?

¿Qué grado de fiabilidad tiene una plataforma de voto público que no cuenta con las MÍNIMAS condiciones de seguridad?

Ya respondo yo. Ninguna.

HISTÓRICO

Enlaces internacionales