La conexión entre el usuario y el servidor no está encriptada. Cualquier hacker puede robar todos los datos que se ingresan. Además, se pueden tramitar bajas en nombre de terceros sin que lo sepan.
Basta con poner un número de DNI al azar, una dirección y un teléfono. Cualquiera puede darle de baja al subsidio de quien quiera con sólo tipear esos datos. La web que puso en marcha el gobierno nacional para renunciar de manera voluntaria a las ayudas en los servicios de gas, luz y agua es por lo menos insegura. No sólo porque no hace ningún chequeo de los datos que uno ingresa sino porque la página no tiene ningún sistema de seguridad que impida el robo de datos.
Tal como pudo comprobar Clarín.com, la conexión entre el usuario y el servidor no está encriptada. Esto significa que cualquier persona con conocimientos y malas intenciones puede robar toda la información ingresada por los usuarios. La web es una invitación a los hackers.
A excepción de un código captcha que se utiliza para evitar que el sitio sea bloqueado a través de un bombardeo de requerimientos o consultas, la web no tiene ningún tipo de sistema que proteja al usuario.
El código captcha suele ser una serie de palabras, números o combinaciones que se muestran en una imagen distorsionada que aparece en pantalla. Se supone que una computadora no tiene la capacidad de “leer” e introducir esa secuencia, evitando así un envío masivo de consultas que haría colapsar al sitio. Pero se trata de una medida de seguridad pensada para la web no para el usuario.
La falta de una conexión encriptada no es la única vulnerabilidad del sitio puesto en marcha por el Ministerio de Planificación que maneja Julio De Vido.
El formulario que hay que completar permite colocar números de documento al azar y verificarlos con el padrón. Una vez colocado un DNI, por ejemplo, devuelve el nombre y apellido de la persona y puede tramitarse la baja del subsidio que esté a su nombre.
“La web no debiera devolver los datos. Debería hacer un chequeo interno que no esté a la vista del usuario e informar si hay una inconsistencia entre los datos aportados y los registrados”, explica Cristian Borghello, director del sitio de seguridad informática Segu-info. Y dice que el Ministerio debería solicitar otros datos de verificación para hacer el trámite.
El sistema tampoco verifica que el domicilio al cual se le va a quitar el subsidio se corresponda con el que la persona dice tener. Así, Clarín.com pudo verificar que se pueden ingresar datos personales con una dirección que no es la real.
La web tampoco chequea los números de teléfono ni los mails que deben ingresarse. Se puede dar una dirección de correo electrónica falsa o ajena y teléfonos inexistentes.
Los números de identificación de usuario que figuran en las facturas no son obligatorios. Ni siquiera se pide el número de cliente.
Entre el listado de Preguntas frecuentas que ofrece el sitio una de ellas dice:
“¿Puede otra persona renunciar en mi nombre?
NO, solo el Usuario Real puede brindar consentimiento para renunciar al subsidio. Que puede o no coincidir con el Titular que figura en la boleta”.
Pero no es cierto. Clarín.com pudo corroborar como no sólo se puede completar y tramitar la baja en nombre de cualquiera sin tener su permiso, sino otra serie de irregularidades.
La web permite hacer trámites a nombre de personas fallecidas. Otra de las irregularidades del sistema es que algunos DNI no coinciden con los nombres de las personas que quieren darse de baja. “Eso es una inconsistencia de la base de datos”, explica Borghello y advierte que hay que estar alerta porque se podría estar ante un caso de sustitución de identidad.
Facundo Malaureille es abogado especialista en datos personales. Cree que el sistema debería haberse organizado en torno a las bases de datos de las empresas que brindan los servicios para que no haya lugar a errores involuntarios o adrede. “Me preocupa mucho“, advierte. “No hay sistema de trackeo que corrobore quién está completando el formulario”, subraya.
Además, Malaureille indica que el Estado viola una serie de normativas en la web habilitada para darse de baja de los subsidios. Puntualmente se refiere a dos disposiciones de la Dirección Nacional de Protección de Datos Personales (DNDP): la 11/2006 y la 10/2008.
Esta última establece en su artículo primero que “los responsables y usuarios de bancos de datos públicos o privados deberán incluir, en lugar visible, en su página web y en toda comunicación o publicidad, en particular, en los formularios utilizados para la recolección de datos personales, una leyenda que indique: “El titular de los datos personales tiene la facultad de ejercer el derecho de acceso a los mismos en forma gratuita a intervalos no inferiores a seis meses, salvo que se acredite un interés legítimo al efecto conforme lo establecido en el artículo 14, inciso 3 de la Ley Nº 25.326”. La leyenda no aparece en ningún lado.
Según explicó Malaureille el sitio tampoco cumple con las medidas de seguridad de nivel medio que establece la disposición 11/2006 de la DNDP.
Falta de verificación de información, posibilidad de completar el formulario con cualquier dato y tramitar bajas en nombre de otros sin que se enteren, el sitio lanzado hoy presenta una serie de fallas que hacen que este trámite sea peligroso e inseguro.
Fuente: Clarin