Acceder al feed de los comentarios de este artículo
Si algo le faltaba a la trama de la quita de subsidios que lleva adelante el Gobierno, es la eventual inseguridad en la página de Internet donde uno puede renunciar a ese beneficio. Ya el sistema había demostrado sus fallas al mostrar en esa nómina los nombres, entre otros, de Néstor Kirchner y Emilio Massera.
A eso, se ha sumado en las últimas horas una advertencia de potencial peligrosidad. Es que, según cuenta hoy Clarín.com, la conexión entre el usuario y el servidor no está encriptada y cualquier hacker puede robar todos los datos que se ingresan.
“Basta con poner un número de DNI al azar, una dirección y un teléfono. Cualquiera puede darle de baja al subsidio de quien quiera con sólo tipear esos datos. La web que puso en marcha el gobierno nacional para renunciar de manera voluntaria a las ayudas en los servicios de gas, luz y agua es por lo menos insegura. No sólo porque no hace ningún chequeo de los datos que uno ingresa sino porque la página no tiene ningún sistema de seguridad que impida el robo de datos”, asegura el diario.
Clarín.com pudo comprobar que la conexión entre el usuario y el servidor no está encriptada. Esto significa que cualquier persona con conocimientos y malas intenciones puede robar toda la información ingresada por los usuarios. La web es una invitación a los hackers.
A excepción de un código captcha que se utiliza para evitar que el sitio sea bloqueado a través de un bombardeo de requerimientos o consultas, la web no tiene ningún tipo de sistema que proteja al usuario.
Hay que mencionar que el código captcha suele ser una serie de palabras, números o combinaciones que se muestran en una imagen distorsionada que aparece en pantalla. Se supone que una computadora no tiene la capacidad de "leer" e introducir esa secuencia, evitando así un envío masivo de consultas que haría colapsar al sitio. Pero se trata de una medida de seguridad pensada para la web no para el usuario.
La falta de una conexión encriptada no es la única vulnerabilidad del sitio puesto en marcha por el Ministerio de Planificación que maneja Julio De Vido.
El formulario que hay que completar permite colocar números de documento al azar y verificarlos con el padrón. Una vez colocado un DNI, por ejemplo, devuelve el nombre y apellido de la persona y puede tramitarse la baja del subsidio que esté a su nombre.
"La web no debiera devolver los datos. Debería hacer un chequeo interno que no esté a la vista del usuario e informar si hay una inconsistencia entre los datos aportados y los registrados", explicó a ese diario Cristian Borghello, director del sitio de seguridad informática Segu-info. Y dice que el Ministerio debería solicitar otros datos de verificación para hacer el trámite.
El sistema tampoco verifica que el domicilio al cual se le va a quitar el subsidio se corresponda con el que la persona dice tener. Así, Clarín.com pudo verificar que se pueden ingresar datos personales con una dirección que no es la real.
La web tampoco chequea los números de teléfono ni los mails que deben ingresarse. Se puede dar una dirección de correo electrónica falsa o ajena y teléfonos inexistentes.
Los números de identificación de usuario que figuran en las facturas no son obligatorios. Ni siquiera se pide el número de cliente.
