www.DatoSeguro.gob.ec NO es seguro

Tema: 

Hace unos meses, a través de mi cuenta de Twitter, alerté que la iniciativa www.DatoSeguro.gob.ec no era segura: El sistema de verificación de identidad que exige al usuario cuando se registra a colocar la identificación dactiloscópica de su cédula de identidad NO es suficiente. Si yo tuviera una copia de la cédula de identidad de cualquier persona, podría registrarme a nombre de esa persona.

Incluso, si esa persona es el Presidente de la República.

El tema perdió importancia por unos meses, hasta este fin de semana (sab24 y dom25 de noviembre), en que leí la historia de Matt Honan, escritor de la revista WIRED, que sufrió de robo de identidad (Kill the Password: Why a String of Characters Can’t Protect Us Anymore - http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/). Con ese artículo rondando en mi cabeza, borré todas mis tarjetas de crédito de los sitios de internet y cambié mis contraseñas por unas mucho más seguras, siguiendo los consejos que se mencionan ahí.\r\n\r\nY el tema de www.DatoSeguro.gob.ec me volvió a la mente.

Hacerse pasar por cualquier persona en www.DatoSeguro.gob.ec es muy fácil. No se necesita más que una cuenta de correo electrónico y un poco de tiempo.

Debo aquí declarar que lo que hice fue hecho para mostrar una falla GRAVE, gravísima de seguridad en un sistema que declara ser seguro, desde su propio nombre. No se hizo para delinquir o para divulgar información que pueda ser utilizada con malas intenciones, ni para vender la información, chantajear o cualquier otra clase de acto ilegal o inmoral.

Con estos antecedentes, explico lo sucedido:

Preocupado por el artículo de M. Honan, volví a pensar en www.DatoSeguro.gob.ec. Yo sabía, tenía la total certeza, de que el sistema no era seguro. ¿Cómo llamar la atención para que el sistema sea mejorado, para que esa brecha de seguridad tan obvia sea cerrada? Lo único que se me ocurrió fue lo que hice: Crear el usuario y contraseña del Sr. Presidente Rafael Correa.

Buscando en internet encontré los datos que necesitaba para crear la cuenta: La fecha de nacimiento y el número de cédula. La fecha de nacimiento la saqué de un sitio de celebridades (http://www.nndb.com/people/744/000162258/) y el número de cédula en el texto completo de la demanda del Sr. Presidente contra El Universo (http://rafaelcorreacontraeluniverso.eluniverso.com/demanda-contra-diario-eluniverso/).

El único dato que me faltaba era el \"Indice dactilar\". Por curiosidad, alguna vez me fijé en los índices dactilares de las cédulas de identidad: todos son muy parecidos. Hay una V o una E o una A seguido de varios números: V23444 - E5444 y así... combinaciones muy sencillas, aparentemente. El sistema me preguntaba los números 3 y 4 del índice dactilar. Con la primera combinación de números acerté y mi cuenta fue creada. Luego de verificar el correo electrónico que envía el sistema, ahora tengo acceso a todos los datos "seguros" de Rafael Vicente Correa Delgado.

Absolutamente sencillo. Me tomó media hora, tal vez menos.

La información que se encuentra en el sitio es delicada: Antecedentes penales, viajes al exterior, registro de vehículos, registro de propiedades, títulos universitarios... Alguien con malas intenciones podría hacer muy mal uso de esta información.

Esta falla de seguridad es GRAVISIMA, no solo por la cantidad de información que contiene sino por la intención del sitio que debe mantener los DATOS SEGUROS de todos los Ecuatorianos. La ley del sitema nacional de registro de datos públicos puede ser consultada aquí: (http://www.dinardap.gob.ec/institucion/nuestra-institucion.html).

¿Cuál es la solución? Que www.DatoSeguro.gob.ec corte INMEDIATAMENTE el acceso a sus bases de datos de TODAS las cuentas registradas. La verificación de la identidad deberá hacerse en persona, con cédula de ciudadanía original y en ese momento se entregaría la contraseña. Como lo hace el IESS.

Y además, revisar TODOS los procesos que se estén implementando de acceso a datos públicos a través del internet: Registro de la propiedad, mercantil, civil, policía, migración, cancillería... TODOS.

Adjunto a este mensaje dos capturas de pantalla de la cuenta creada en www.DatoSeguro.gob.ec y del correo de confirmación. La contraseña de acceso al portal y al correo electrónico que creé para registrarme, estarán a disposición del Sr. Presidente cuando las requiera.

Saludos

Paul

Comentarios

que mal!!!

Imagen de The One

los medios de comunicación indican que ha suplantado la identidad del presidente..................que mal!!!.............. para el colmo un payaso que a lo mejor es alguna cosa en este "dato seguro" y sale en este noticiero dice que paul a vulnerado la "seguridad" del sistema para suplantar la identidad del presidente..................... BOBASO, DATE CUENTA QUE EL SUPUESTO SISTEMA Y PEOR AÚN "LA SEGURIDAD" QUE TIENE EL DISQUE DATO SEGURO ES PURA BASURA..........
y ojo compañeros, que en otros sitios implican a EcuaLUG que siempre se ponen cosas como estas, que brutos esta gente.

Apoyo total a Paúl

Imagen de kfirmad Kronsage

Comparto con muchos que la forma de evidenciar este problema quizá no fue la mejor, pero yo me pregunto, si uno detecta estos fallos, avisa a los responsables y éstos no hacen caso, entonces, a quién vamos a recurrir?

A este país le falta mucho por progresar y lo que hizo Paúl ojalá sirva para ponernos los pies bien firmes en la tierra y saber donde debemos poner los esfuerzos para ir mejorando.

----------------------------
Cada día más Grande... y no lo detiene nadie!!

La reacción de los que no

Imagen de iknaxio

La reacción de los que no tienen argumentos es la represión y la injuria. Si el Gobierno es inteligente, destituiría a los responsables de contratar el desarrollo de este sistema tan inseguro.

Cualquiera con un poco de tiempo se saltaba ese módulo de registro, que se nota fue diseñado por alguien que poco o nada sabe de seguridad informática.

Lo que va a pasar es que la gente empezara a descubrir cosas y se las guardará por miedo a terminar en la cárcel acusado de los delitos favoritos por los funcionarios de turno: saboteador o terrorista.

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

Le van a liberar!!! QUE SEA

Imagen de Epe

Le van a liberar!!! QUE SEA HOY no me parece JUSTO que pase un segundo más!
Sigo en clases desde ayer, quiero sentarme con calma a escribir sobre lo sucedido, no desde el punto de vista mediático, sino nuevamente sobre el tema técnico. Es IMPERIOSO que vayamos al hecho de que el sistema hay que asegurarlo, es obligado! Y si alguien debe responder con carcel es quien cobró por hacer eso y no poner algo más seguro,. A quién se le ocurre autenticar con 2 dígitos de clave? (porque es lo que a la final es)

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

definitivamente

Quién cobró es quien debe responder por lo que es de su responsabilidad en el ámbito que corresponda, si es cárcel, pues cárcel.

¿Pero cómo serán las leguleyadas de ese contrato?

Saludos cordiales.

Mi apoyo a Paúl Coyote

Imagen de JCMilleniuM

A los tiempos que me paso por acá, quería brindarle mi apoyo a Paúl, lamentablemente se metió con el más resentido (el estado... no el otro), apoyo a Rafael Correa sin embargo no es la mejor forma de llevar un problema que está mal desde un comienzo. Dato Seguro es una buena idea sin embargo los datos están demasiado vulnerables, este no fue un hack como lo indican los medios, fue ingeniería social que a todos se nos ocurrió en algún momento. El clonar la identidad de alguien es fácil solo necesitan una copia de la cédula. Al momento no hay un solo organismo que utilice la información del dicho chip que se tiene dentro de la cédula, aunque eso tampoco asegura nada, solo que se tiene una cédula.
En fin apoyo a Paúl y espero que todo este problema se resuelva de la mejor manera para Paúl y el resto de ecuatorianos. Ya basta de que los datos de todos estén regados por organismos noveleros antes que seguros.

--
Ing. Juan Carlos Moreno A.

de acuerdo

Ahora solo falta que alguien pueda inteligenciarle al respecto al Presidente, si no seguimos en las mismas, y esto se vuelve una bola de nieve.

Saludos cordiales.

q metedura de pata

Un error muy infantil para mi gusto.

Una vez descubierto el error habían varios caminos para hacerse escuchar... Pero publicarlo explicando como hacerlo para q cualquier persona haga lo q desee con la información? Me parece una metedura de pata a niveles astrológicos.

Es imposible q no se le den cargos. No importa si le creen o no q era con buenas intenciones. Debe ser procesado para dar un precedente.

Es una lastima q sea padre de familia, seguramente un buen sujeto, pero hay q afrontar los errores.

Yo aconsejaría cambiar la película de héroe y pedir disculpas y pedir la menor de las sanciones. Mostrarse arrepentido antes q altanero y no , la vida no es justa. Acostumbremonos de una vez.

Después de pagar (espero q una muy corta condena) , entonces empezar una campaña para q sean sancionadas las personas q ponen en riesgo nuestros datos y ahí si mostrar al héroe q eso hizo posible.

Para jugar con fuego se debe conocer bien el campo y las reglas.

Suerte.

Metedura de pata??.

Tal vez la metedura de pata es, como se dijo anteriormente, meterse con el más resentido...
si se metian a tus datos y los vendían pues ahi si estarian preocupados por eso esperando un "heroe" que verifique esto..... deberían encarcelar a los creadores del supuesto software entregado que por lo visto no tienen ni minima idea de seguridades informaticas.... encarcelen a esos señores que para un contrato llaman a sus primos, hermanos o familiares antes que a una empresa que pueda hacerlo bien...

todo mi apoyo Paúl.... y que los ignorantes creadores del supuesto sistema asuman su culpabilidad.....

Páginas