La pandemia del COVID-19 y el aislamiento obligatorio llevaron a los gobiernos nacional y provinciales a generar rápidamente métodos virtuales que permitieran administrar el tránsito de personas autorizadas para circular durante este período.
El gobierno de San Juan, como el de otras provincias, creó una web para que los habitantes locales puedan gestionar un permiso de movilidad. Durante los meses de aislamiento, más de 115 mil sanjuaninos gestionaron el permiso provincial para trabajadores esenciales o exentos de cumplir el aislamiento obligatorio y dejaron toda su información en una página que generó una base de datos. Esa base de datos quedó desprotegida y expuesta en la web.
El 12 de julio, según reporta un informe de la firma de seguridad Comparitech, la base de datos fue indexada por el buscador BinaryEdge. El 25 de julio, el investigador especializado en ciberseguridad, Bob Diachenko descubrió la base de datos argentina sin protección y alertó a través de un e-mail al Ministerio de Salud. “No nos respondieron. Es posible que no lo hayan visto o haya ido directamente a Spam”, explicó Paul Bischoff, de Comparitech.
Tras la falta de respuesta, Diachenko mandó otra alerta al CERT argentino (Equipo de respuesta de emergencia, por sus siglas en inglés), quien se anotició del incidente y se comunicó con las autoridades en desarrollo tecnológico de San Juan. Al día siguiente, la base de datos fue quitada de la red.
Por qué pasó
Las base de datos están subidas a servidores y, por ende, son accesibles. Para que la información esté protegida necesita algún tipo de barrera de seguridad (protección por contraseñas, segundo factor de autenticación, etc.). “Pueden haber ocurrido dos cosas: que quien hizo la base de datos la haya dejado abierta, sin llave, digamos, o que le hayan puesto una cerradura muy fácil de abrir”, nos explica Julio López, experto en ciberseguridad.
Fuentes de San Juan indican que se trató de una vulnerabilidad en el sistema que, al ser detectada, fue solucionada al poco tiempo. Sin embargo, al preguntarle al investigador de Comparitech, Bob Diachenko, aseguró que se trató de una mala configuración en la base que la dejó desprotegida. “Cualquiera en el mundo podría haber accedido a ella”, sentenció. Se concluye, entonces, que el problema fue una debilidad detectada en la base.
Si bien no se pudo comprobar que alguien haya accedido a esos datos, la experiencia indica que es poco probable que haya pasado desapercibida. De hecho, en su informe, Comparitech muestra que la base de datos fue infectada por un bot (un software que actúa automática y repetidamente en la web) que destruye la información dentro de la base. Sin embargo, el bot no tuvo la capacidad para llevar a cabo su cometido y finalmente quedó intacta.
El verdadero problema de los datos
Hace más de una década que la información personal es un valor de intercambio. Las bases de datos tienen un valor económico muy alto y suelen venderse en la dark web al mejor postor, incluso a grandes empresas. Esto hace que sean un blanco muy buscado por los hackers y que estén constantemente intentado conseguirlas.
Los países más desarrollados tienen un presupuesto enorme destinado a proteger la seguridad de sus bases de datos públicas. En Argentina, la cuestión es muy distinta. “Es una cuestión cultural”, indica López, “En nuestro país, a nivel estatal, no hay suficientes exigencias a la hora de contratar a una empresa para que maneje la información sensible. Ni siquiera hay quienes estén contratados por el Estado para que hagan chequeos en las web públicas y reporten problemas de seguridad. Hay que preguntarse: ¿por qué no es negocio para un hacker buscar vulnerabilidades en la red y reportarlas al Estado?”.
En un mundo que depende cada vez más de la digitalización y de las telecomunicaciones, el mensaje parece claro: no hay seguridad sin ciberseguridad.
Fuente: TN