jueves, 10 de marzo de 2016

Nueva irresponsabilidad de SENATICs


El día de hoy estaba escribiendo un post sobre el hackathon del agro, evento que se realizo el fin de semana pasado. En eso me doy cuenta de una muy grata noticia. Con sumo placer lo leí en Ultima Hora. Me dije a mi mismo al fin vamos avanzando en el camino correcto. El gobierno electrónico es necesario, es urgente disponibilizar herramientas para un mejor gobierno. Sin más preámbulos voy a documentos. Y empezaron las sorpresas.

Lo Técnico

Sin HTTPS

Lo primero que uno puede notar es que el servicio esta sin encripción. No se realiza una conexión segura. ¿Para qué tenemos una ley de firma digital si un servicio tan delicado al cual accederá toda la población no tiene esto?
Pero bueno vaya y pase. Ponele que esta bien.

Sin Registro

Sin más selecciono el tipo de documento, completo la cedula y tengo los datos. No necesito registrarme!!!. Bueno, ponele que esta bien, son novatos los programadores. Seguramente pensarán que cualquiera puede falsificar datos para el registro.

Sin Captcha

Entre las cosas que mas me sorprenden de este sistema es que no tiene captcha!!! Es decir vos colocas tu número de cedula y te muestra tus datos. ¿Esto que implica? Que cualquier persona puede hacer un pequeño script y bajar la mayoría de las bases de datos disponibles. Incluso desde Rusia (y esto lo probé). Mis datos están libres en Internet!! sin mayores trámites como bien lo “vendieron” en la presentación probablemente donde estuvieron:

El evento contó con la presencia del ministro de Trabajo, Empleo y Seguridad Social, Guillermo Sosa; el Ministro Secretario de la Senatics, David Ocampos; el ministro secretario de la Función Pública, Humberto Peralta; el presidente del Instituto de Previsión Social (IPS), Benigno López; la viceministra de Tributación, Martha González; el director general de Planificación y Cooperación del MT, Enrique López Arce, y el gerente general de la Cámara Nacional de Comercio y Servicios de Paraguay, Miguel Riquelme.

Probablemente aplaudieron a rabiar los grandes avances del gobierno nacional. ¿Habrán estado conscientes de estos “detalles” técnicos? Probablemente ni les interesará.

Sin otros datos

Para varias consultas ni siquiera piden otros datos. Como por ejemplo “fecha de nacimiento” (como bien lo hace la SET en su formulario). De tal forma a validar al menos que tengo algunos datos mas sobre la persona. O que di autorización para que otra persona o entidad privada consulte MIS datos.
¿Estos datos son realmente públicos? ¿Dónde esta el límite? ¿Son conscientes de lo que se puede hacer minandolos?

Lo e-Gov

Me parece estupendo que por diversas necesidades de la población o del sector privado se disponibilice estos datos. Creo que es lícito. Creo que es necesario. Discrepo profundamente en la forma en que se hizo. Básicamente la SENATICs disponibiliza varias bases de datos de forma irestricta aquí y en la China. Sin mínimas medidas de seguridad. Con esto se expone a toda la ciudadanía registrada en alguna de estas bases de datos de alguna forma. Y esto es sumamente alarmante ya que también de la misma forma en varios servicios del sector privado tenemos la misma lógica. Y con estos datos disponibles perfectamente se puede penetrar la seguridad de esos sistemas. Trabajo práctico: Ing. Social en las telefónicas o en los bancos.

Es una absoluta irresponsabilidad de parte de los encargados de estos sistemas, desde el programador hasta el Ministro-Secretario David Ocampos de este hecho. En Internet permitir este tipo de accesos es inaudito más aun cuando en el mundo se esta debatiendo e implementando mas y mejores medidas de seguridad sobre los datos de las personas.

Necesitamos urgente una “Ley de protección de Datos Personales”, necesitamos reglas de juego claras. Nuestros datos están en manos de un funcionariado irresponsable que busca solo lanzar servicios sin medir las reales consecuencias.

Mi sugerencia sigue siendo la misma, Deben bajar el servicio y hacerlo correctamente. Luego de varios twitts bajaron solo las consultas a la base de datos de la policía.

Pero mientras tanto. ¿A quién le reclamo si utilizan mal mis Datos?¿A la SENATICs?

Me siento desnudo. ¿vos no?. Todos estamos al desnudo.

UPDATE: Más info aquí y aquí

No hay comentarios: