www.DatoSeguro.gob.ec NO es seguro

Tema: 

Hace unos meses, a través de mi cuenta de Twitter, alerté que la iniciativa www.DatoSeguro.gob.ec no era segura: El sistema de verificación de identidad que exige al usuario cuando se registra a colocar la identificación dactiloscópica de su cédula de identidad NO es suficiente. Si yo tuviera una copia de la cédula de identidad de cualquier persona, podría registrarme a nombre de esa persona.

Incluso, si esa persona es el Presidente de la República.

El tema perdió importancia por unos meses, hasta este fin de semana (sab24 y dom25 de noviembre), en que leí la historia de Matt Honan, escritor de la revista WIRED, que sufrió de robo de identidad (Kill the Password: Why a String of Characters Can’t Protect Us Anymore - http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/). Con ese artículo rondando en mi cabeza, borré todas mis tarjetas de crédito de los sitios de internet y cambié mis contraseñas por unas mucho más seguras, siguiendo los consejos que se mencionan ahí.\r\n\r\nY el tema de www.DatoSeguro.gob.ec me volvió a la mente.

Hacerse pasar por cualquier persona en www.DatoSeguro.gob.ec es muy fácil. No se necesita más que una cuenta de correo electrónico y un poco de tiempo.

Debo aquí declarar que lo que hice fue hecho para mostrar una falla GRAVE, gravísima de seguridad en un sistema que declara ser seguro, desde su propio nombre. No se hizo para delinquir o para divulgar información que pueda ser utilizada con malas intenciones, ni para vender la información, chantajear o cualquier otra clase de acto ilegal o inmoral.

Con estos antecedentes, explico lo sucedido:

Preocupado por el artículo de M. Honan, volví a pensar en www.DatoSeguro.gob.ec. Yo sabía, tenía la total certeza, de que el sistema no era seguro. ¿Cómo llamar la atención para que el sistema sea mejorado, para que esa brecha de seguridad tan obvia sea cerrada? Lo único que se me ocurrió fue lo que hice: Crear el usuario y contraseña del Sr. Presidente Rafael Correa.

Buscando en internet encontré los datos que necesitaba para crear la cuenta: La fecha de nacimiento y el número de cédula. La fecha de nacimiento la saqué de un sitio de celebridades (http://www.nndb.com/people/744/000162258/) y el número de cédula en el texto completo de la demanda del Sr. Presidente contra El Universo (http://rafaelcorreacontraeluniverso.eluniverso.com/demanda-contra-diario-eluniverso/).

El único dato que me faltaba era el \"Indice dactilar\". Por curiosidad, alguna vez me fijé en los índices dactilares de las cédulas de identidad: todos son muy parecidos. Hay una V o una E o una A seguido de varios números: V23444 - E5444 y así... combinaciones muy sencillas, aparentemente. El sistema me preguntaba los números 3 y 4 del índice dactilar. Con la primera combinación de números acerté y mi cuenta fue creada. Luego de verificar el correo electrónico que envía el sistema, ahora tengo acceso a todos los datos "seguros" de Rafael Vicente Correa Delgado.

Absolutamente sencillo. Me tomó media hora, tal vez menos.

La información que se encuentra en el sitio es delicada: Antecedentes penales, viajes al exterior, registro de vehículos, registro de propiedades, títulos universitarios... Alguien con malas intenciones podría hacer muy mal uso de esta información.

Esta falla de seguridad es GRAVISIMA, no solo por la cantidad de información que contiene sino por la intención del sitio que debe mantener los DATOS SEGUROS de todos los Ecuatorianos. La ley del sitema nacional de registro de datos públicos puede ser consultada aquí: (http://www.dinardap.gob.ec/institucion/nuestra-institucion.html).

¿Cuál es la solución? Que www.DatoSeguro.gob.ec corte INMEDIATAMENTE el acceso a sus bases de datos de TODAS las cuentas registradas. La verificación de la identidad deberá hacerse en persona, con cédula de ciudadanía original y en ese momento se entregaría la contraseña. Como lo hace el IESS.

Y además, revisar TODOS los procesos que se estén implementando de acceso a datos públicos a través del internet: Registro de la propiedad, mercantil, civil, policía, migración, cancillería... TODOS.

Adjunto a este mensaje dos capturas de pantalla de la cuenta creada en www.DatoSeguro.gob.ec y del correo de confirmación. La contraseña de acceso al portal y al correo electrónico que creé para registrarme, estarán a disposición del Sr. Presidente cuando las requiera.

Saludos

Paul

Comentarios

Colaboracion por paulcoyote

Imagen de pepo

Estimados, a los años que POSTeo por acá y lo hago para entregar mi total apoyo a Paul. Tal vez ASLE u otra podría "pronunciarse" en este sentido?.

------------------------------------------------
Linux User Registered #232544
Jabber : pepo@jabberes.org
Ekiga : pepo@ekiga.net
GnuPG-key : www.keyserver.net

lo grave es que estamos en manos de incapaces

Te felicito amigo por tu iniciativa al denunciar a estos ilusos que todavia creen en la seguridad de su nunca fotocopiada cedula de identidad. La verdad hoy me siento mucho mas amenazad en mi privacidad por razones de incompetencia antes que por malas intenciones. Efectivamente la solucion es eliminar el actual sistema de autenticacion y cortar todas las cabezas sin cerebro responsables de esta bestialidad descubierta. Esperemos que los mandos de la revolucion ciudadana hagan conciencia o alguien haga la caridad de explicarles un par de conceptos de seguridad. Personalmente recomendare a todos quienes me pregunten que no se inscriban a DatoSeguro, aunque he escuchado que para cierto tramite han obligado a inscribirse en esa web, es verdad?

Aunque inseguro el sistema,

Imagen de iknaxio

Aunque inseguro el sistema, me ví en la obligación de registrarme si o si, porque sino otra persona con acceso a mi copia de cédula lo podría hacer.

No se mucho de leyes pero imagino que podría demandar a la entidad de gobierno responsable de Dato Seguro por dejar expuesta información confidencial mía.

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

Buena experiencia

Paúl te queda la experiencia, y me imagino seguirás descubriendo cosas, pero es fundamental que no obvies el camino legal. Puedes ver en mi trabajo http://bolivarlojan.blogspot.com/p/un-pequeno-error-de-100425771-cedulas.html que en las consultas de afiliación a organizaciones políticas, el sistema del CNE permitía ingresar como 100 millones de cédulas sin el último dígito y el sistema, respondía como si la cédula fuese correcta. Esto se debe a que el último dígito de la cédula ecuatoriana es de validación y como el algoritmo de validación es por muchos conocido podemos decir que el último dato es "predecible". Informé a las autoridades del CNE de mi ciudad y puedo decir que cumplí con el deber. Obviamnte era un sistema de consulta libre y no permitía fisgonear.

Hay tantos sistemas fallos en seguridad pero el deber es denunciar por los canales legales.

Un abrazo y sigue trabajando y trata de pasar este trago amargo

Buen camino

Bolívar

Apoyo

Imagen de klevy

Tambien apoyo a @paulcoyote, no necesitas ser hacker para registrarte a nombre de otra persona. Esa página no es nada seguro.

--
Controlar la complejidad es la esencia de la programación

Señores ,

Imagen de robecarlsiro

Señores ,
Deberian preguntarse como mejorar la seguridad de su sistema Datos "Seguro" y no detener a una persona que lo único que hizo es decir que no es seguro su sistema. TODO EL APOYO AL COLEGA algun rato me pase por su instalaciones, deja mucho que desear.

Páginas