Hace un momento, llegó el siguiente correo electrónico a toda la oficina:
Adjuntamos link para que puedan revisar si son miembros de mesa en las próximas elecciones.
Hago clic al link y carga una página bastante simpática, la cual, según veo, está basada en Windows Azure, lo cual me alegra en principio ya que muestra a una institución estatal (el JNE en este caso) apostando por nuevas tendencias tecnológicas –para quien no sabe, Windows Azure es un servicio de tipo “cloud” ofrecido por Microsoft. El “Cloud Computing” es el último boom en tecnologías de información.
La primera oferta gratuita de la página es: “¿quieres saber dónde votar?, ingresa tu DNI”. De acuerdo, toma mi DNI, total, necesitas saber mi DNI para saber dónde voto. Al entrar, oh! Gracias! No soy miembro de mesa en estas elecciones. Además, observando un poquito, me doy cuenta que, para poder obtener esta consulta, la página web (presidencial.aspx) ha sido llamada empleando mi DNI como parámetro de entrada:
Pero no me dice dónde debo votar aun (al menos me dice la mesa, pero no dónde… que viva el Perú). Vamos alguna opción mas interesante entonces. Puedes comparar candidatos!!
Hago clic en el enlace, y lo primero que noto es que la aplicación llama a la página de comparación (compara.aspx) pasándole como parámetro mi DNI, nuevamente:
¿Sospechoso? Mmmm… bueno, siendo bien pensado, quizás el parámetro DNI viene “pegado” de la página anterior (excusa de un mal programador, pero excusa al fin y al cabo). Y bueno, quizás al JNE le interesa saber qué ciudadano decidió comparar candidatos. Ciudadano informado. Válido.
Lo que NO me gustó, fue que, luego de seleccionar a dos candidatos cualquiera para compararlos (bueno, no cualquiera, PPK tiene mi voto en realidad), noté que al llamar a la comparación entre ambos candidatos, mi DNI sigue pasando como parámetro a la consulta!!:
Lo notas, o no? Mira la esquina inferior izquierda. Sigue enviando tu DNI cada vez que comparas dos candidatos!! Cualquiera que tenga un mínimo de sentido común (o formación estadística) puede afirmar que es posible deducir la preferencia de un elector en función a las comparaciones que realiza (y sí, estoy borrando mi número de DNI hace rato).
Decido ponerme techie y saber realmente lo que pasa entre mi Internet Explorer y el servidor, y si es que efectivamente, la página envía mi DNI como parámetro a la consulta. Empleo Fiddler2 para esto. Cargo Fiddler configurado para detenerse antes de enviar y recibir información hacia y desde el servidor, y lanzo una página de Internet Explorer nueva. Ingreso la dirección www.infogob.com.pe.
Ingreso mi DNI, y hago clic en Entrar. Tal como lo esperaba, veo que mi DNI es pasado a la página presidencial.aspx través de una variable al servidor, tal como lo mostré al principio de este post:
(clic en la imagen para agrandar) 
Luego, hago clic en “Compáralos” nuevamente, donde antes ya había identificado que pasaba mi DNI, pero donde no necesariamente sería de manera maliciosa. Efectivamente, pasa mi DNI como parámetro:
(clic en la imagen para agrandar) 
Pero ahora, la prueba de fuego: voy a comparar a dos candidatos, y comprobar que realmente mi DNI sigue siendo enviado como parámetro a pesar de realizar una consulta particular, a través de la cual puedo ser claramente identificado (mi DNI), y de la cual se podría inferir, cuál es mi (real) preferencia electoral. Los selecciono. Fiddler no registra actividad hacia el servidor
Pero cuando hago clic en “Compara los candidatos”, Fiddler registra mi número de DNI en la página comparativa (línea 166), dentro de un campo bastante críptico, por decir lo menos. Si el servidor me está devolviendo el resultado de la comparación, y junto a ellos me devuelve mi DNI, ¿qué podemos inferir?
(clic en la imagen para agrandar) 
De hecho, las líneas 168 y 169 son las imágenes de PPK y Castañeda, cargando para la página, respectivamente
(clic en la imagen para agrandar)
No quiero acusar directamente, pero puedo afirmar que es totalmente posible registrar el DNI de cada persona junto con los datos que ésta consulta. ¿Para qué? ¿Encuesta propia por parte del JNE? En verdad no lo sé, y no sé si tampoco me interese, pero hace tiempo que no hacía un poco de ejercicio en la web.
