Hace unos días, la página web de la Agencia de Recaudación Buenos Aires (ARBA) fue hackeada luego de que se descubriera que desapareció una lista con 71.750 morosos que supuestamente se encuentran en juicio por adeudarle a la Provincia más de 4.200 millones de pesos desde el año 2004.
    Si bien el servicio volvió a funcionar rápidamente, quedaron ciertas dudas flotando en el aire y no se respondieron los interrogantes surgidos a partir de lo sucedido, teniendo en cuenta de que se trata de un caso de "inseguridad informática" a nivel estatal.
    En un principio, hay que destacar que el hecho de mostrar una lista de morosos con nombres y apellidos bien pudo haber causado la molestia de mucha gente; para personas con deudas no es muy agradable ser "escrachada" así en Internet con acceso público.
    Pero, independientemente de esto, este supuesto hackeo no fue más que un simple "juego", ya que el daño pudo ser mucho mayor si se hubiera querido hacer un ataque "real".
    Pocos saben que la página de ARBA tenía un acceso total "libre" a la base de datos: se podían borrar morosos, modificar su deuda, agregar personas a la lista y miles de cosas más. Si se quería dejar a alguien mal parado, tranquilamente se le podía haber aumentado su deuda. Si no se deseaba estar en la lista, simplemente se podía borrar el pertinente registro.
    El hecho de poner "666" en la deuda de cada persona, o el nombre de nuestra Presidente, Cristina Kirchner, en todos los casos no es más que otra muestra de que fue algo mas divertido que político. Si este juguetón hacker hubiera querido, se guardaba el acceso y simplemente lo usaba para beneficio propio. Yo, por ejemplo, hubiera elegido "escrachar" a gente como Julio de Vido o Mauricio Macri, pero la intención de esta persona fue más inocente.
    Para destacar, hay dos ejes que se pueden observar en esta situación. El primero es simple: sabiendo que el servicio era vulnerable ¿por qué se restauró una copia de seguridad de la base y no se dio el servicio de baja inmediatamente? Esto lleva a especular que la información mostrada podría estar siendo modificada y no ser real.
    El segundo eje es un poco mas conflictivo, ¿cómo una página gubernamental con datos de relevancia puede ser hecha con un error tan simple, común y antiguo?
    La técnica utilizada se llama SQL Injection (1) —su correcta traducción es Inyección de SQL— y se trata de una forma de mandar ordenes a la base de datos, arbitrariamente del resultado que el programador quiera mostrar. Esta técnica es muy común de ver en sitios mal hechos, y debe ser la puerta de entrada del 90% de los ataques a sitios web. No hay complejidad en evitarlos y tampoco en arreglarlos. Si la página de ARBA era vulnerable a ese ataque, antes de levantar una copia de seguridad poniendo los datos otra vez en riesgo —y posiblemente el sistema y el resto de la página—, tendrían que haberse tomado los recaudos pertinentes. Arreglar un problema de este tipo no lleva más de 15 minutos.
    En fin, el Estado trabaja con datos más que importante y viene cometiendo este tipo de errores desde hace tiempo. El mencionado, por caso, fue publicado en varios canales de chat en el preciso momento en que este "explotó", motivo por el cual mucha gente tuvo "acceso libre" para jugar en el sitio de ARBA.
    Finalmente, el problema más importante que surge del análisis de este tema, es que hay otras páginas estatales de la República Argentina que son asimismo vulnerables.

Oscar Gentilezza
Especial para Tribuna de Periodistas

(1) Ver http://es.wikipedia.org/wiki/SQL_Injection