La medida fue impulsada por Sudáfrica, que acusó al país de genocidio debido a la muerte de más de 30 mil palestinos.
La Corte Internacional de Justicia ordenó a Israel terminar con el hambre en Gaza
Actualidad - Hace hace 41 minutos
Por culpa de las serias y graves fallas de seguridad y desactualización del sitio de datos de seguridad social del Gobierno, varios datos personales se dejaron a la vista, vaya uno a saber desde hace cuánto.
En variadas plataformas y medios, diferentes expertos en informática y seguridad señalaron graves fallas del sitio de Procrear, que permitió, de forma muy irresponsable, acceder a los datos de CUIT y a la contraseña de trámite de todos los usuarios a través de una base de datos recopilada por Anses.
Es importante recalcar y desmentir un error que se propagó por varios medios y que también circuló por las redes: Nadie "hackeó" nada. Simplemente, el sitio del Estado presentaba fallas relacionadas con la seguridad y problemas conocidos hace ya 9 años, y los errores nunca fueron arreglados ni se habló del tema hasta hace una semana. Hablamos con Guido Vilariño, Ingeniero en sistemas de información por la Universidad Tecnológica Nacional, miembro del Observatorio de Derecho Informático Argentino y CoFundador de DemocracyOS, para explayarnos más en el tema.
"La comunidad de seguridad informática sabe de ésto hace mucho tiempo, y tengo entendido que hace mucho vienen avisando de estos problemas, pero nadie se calentó hasta que se empezó a hablar del tema hace poco", nos contó Vilariño a Protón. Si alguien "hackeara" el servidor del Ministerio del Interior, violaría el artículo 153 bus del Código Penal, o si un funcionario dejara expuesta información privada violaría los artículos 157, 157 bis y 249 del Código Penal. Y por más interesante que parezca hablar de un posible Mr. Robot argentino , éste no fue el caso.
"El sistema estaba configurado para servir cualquier dato que vos le pidieras. Al ser una página web, (URL) vos a la dirección le pedís que te dé cierta pagina con el CUIT y listo, te daba los datos de esa persona. y cuando hablamos de dato hablamos de nombre completo, DNI, dirección de tu casa, y si bien el sistema no permitía saber el sueldo de alguien, como exponía el número de trámite del ANSES, con eso podrías crear o cambiar tu clave de seguridad social o tu clave fiscal, que en definitiva también te habilita a ver tu sueldo y aportes, entre otras cosas", nos explica el especialista.
No había absolutamente nada que bloquee o que de alguna manera restrinja el acceso a estos datos, estaban públicos a todo Internet. No era necesario ningún hack, ni un programa especial. Desde cualquier navegador, escribías la dirección y encontrabas el dato que querías.
El problema es ese, con una herramienta tan fácil como esta, gente con intenciones muy malas con un click pueden acceder a toda tu información privada. Es algo gravísimo, no hay responsabilidad del estado. Para mi alguien tendría que ir preso por esto, pero es obvio que no va a pasar nada
Es muy fácil para una persona con muy pocos conocimientos en programación hacer un programa que vaya pidiendo los datos de los DNI uno por uno, que se incrementan y se guardan; y en cuestión de horas podría obtener los datos "privados" de todos los ciudadanos de Argentina. El sistema no hacía nada para prevenirlo: no había ni un Captcha, que es la medida más básica de seguridad. Mas allá de las las vulnerabilidades: usaba una versión antiquísima de Ubuntu, tenía una versión vieja del servidor web, versiones viejas que algunas hace 9 años no se actualizaban. Al no tener Captcha y todo lo relacionado con seguridad, a un atacante si le permitiría explotar y robar esos datos. Pero acá ni siquiera había que hacer eso, porque la información estaba ahí frente a todos.
Para demostrar lo aberrante del caso, Vilariño ejemplificó cómo funcionaba el sitio haciendo un paralelismo simple y fácil de asimilar:
Es como si vos fueses caminando por Diagonal Norte, y pases por a puerta del Registro Nacional de las Personas (ReNaPer). El edificio en vez de tener paredes de piedra, son todas de vidrio. Y sobre el vidrio, mirando hacia afuera, están pegados todos los expedientes de todos los ciudadanos. Entonces vos podes pasar caminando por ahí y ver lo que quieras. No sólo eso, si buscas un DNI encontrás exactamente la ficha de ciudadano que vos querés. Así fue esto, pero de manera digital.
Si bien casos así también se ven en empresas privadas, dónde puedo elegir tranzar con el servicio que me están dando a cambio de mis datos, en éste caso es mucho más preocupante: son datos que se extraen de manera coercitiva, no se puede decidir no aportar esta información a la AFIP, porque la ley asi lo obliga. Acá el problema es que no se están cuidando datos que son privados, problemática que no es nueva para los sitios del Estado, no hay responsabilidad.
El sitio vulnerable ya fue dado de baja. Ni se arregló, ni se modificó, solamente se "apagó", y el Estado aún no dió comentó nada al respecto, a pesar de las claras demandas.
El usuario de twitter @HacKan hizo un thread con detalles del servidor, demostrando que presentaba más de 50 vulnerabilidades diferentes
Me copio de otro para mencionar lo que siempre supimos y cada tanto volvemos a recordar: los organismos estatales SON VULNERABLES y hace falta una política de seguridad más seria (que no implica involucrar persecución policial!)
— Ivan :green_heart:�� HacKan (@HacKanCuBa) June 15, 2019
¿qué vemos en la imagen de interesante? [hilo...] pic.twitter.com/VxDgnPJ3sE
La medida fue impulsada por Sudáfrica, que acusó al país de genocidio debido a la muerte de más de 30 mil palestinos.
Actualidad - Hace hace 41 minutos
La candidata presidencial de la principal alianza opositora denunció que el régimen de Maduro no le permite presentarse a las próximas elecciones.
Actualidad - Hace hace una hora
En declaraciones recientes, Verasay cuestionó que el presidente del espacio "agrede a los radicales que piensan distinto que él".
Actualidad - Hace hace 2 horas
El ministro de Salud porteño indicó que el repelente es más efectivo en los hogares, debido a que el Aedes Aegypti es un mosquito doméstico.
Actualidad - Hace hace 3 horas
El mandatario de Colombia se sumó a su par de México para responderle al jefe de Estado argentino por las agresiones que les manifestó en una entrevista.
Actualidad - Hace hace 3 horas
En horas del mediodía de este jueves, donde inicia el fin de semana largo, se informó el triple choque por el cual todavía se están investigando las causas.
Actualidad - Hace hace 4 horas