{"id":46780,"date":"2019-06-21T10:53:03","date_gmt":"2019-06-21T13:53:03","guid":{"rendered":"https:\/\/www.actualidadadiario.com\/?p=46780"},"modified":"2019-06-21T10:53:03","modified_gmt":"2019-06-21T13:53:03","slug":"fallas-de-seguridad-y-desactualizacion-en-bases-del-estado-que-datos-estan-en-peligro","status":"publish","type":"post","link":"https:\/\/www.actualidadadiario.com\/index.php\/2019\/06\/21\/fallas-de-seguridad-y-desactualizacion-en-bases-del-estado-que-datos-estan-en-peligro\/","title":{"rendered":"Fallas de seguridad y desactualizaci\u00f3n en bases del estado: qu\u00e9 datos est\u00e1n en peligro"},"content":{"rendered":"\n

Seg\u00fan confirmaron diferentes expertos, el sitio de datos de Seguridad Social del Gobierno presentaba serias fallas de seguridad y desactualizaci\u00f3n<\/em><\/strong><\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

A trav\u00e9s de redes sociales, diversos expertos en inform\u00e1tica\ny seguridad expusieron algunas graves fallas del sitio de Procrear que permiti\u00f3\nacceder a los datos de CUIT y a la contrase\u00f1a de tr\u00e1mite de todos los usuarios\na trav\u00e9s de una base datos recopilada por Anses. Al parecer, el sitio web de\nProcrear presentaba varias vulnerabilidades serias que permit\u00edan a cualquiera\nhacer pedidos de informaci\u00f3n a la base de datos de Renaper sin ning\u00fan tipo de\ncontrol.<\/p>\n\n\n\n

El programador Javier Smaldone, conocido por su militancia\nrespecto a las vulnerabilidades del sistema de voto electr\u00f3nico, fue quien\n“destap\u00f3 la olla” en redes sociales. Smaldone confirm\u00f3 que “la\nvulnerabilidad ya era conocida por varias personas, a m\u00ed me lleg\u00f3 por un\ntercero que lo escucho de dos m\u00e1s. Si lo hubiera encontrado yo, lo reportaba\npero el problema persiste hace al menos 5 meses desde que se mont\u00f3 el\nsitio”.<\/p>\n\n\n\n

Seg\u00fan se pudo reconstruir, la puerta de entrada fue el sitio\ndel plan Procrear. Por un problema de desactualizaci\u00f3n de sistema y\npr\u00e1cticamente nulas medidas de seguridad, al modificar levemente la URL del\nsitio, se pod\u00edan hacer pedidos de informaci\u00f3n a la base de datos. Este proceso\nes f\u00e1cilmente automatizable por lo que no es de extra\u00f1ar que ciberdelincuentes\nhayan “dumpeado” (descargado) todo lo que pudieran del sitio.<\/p>\n\n\n\n

Si bien es cierto que muchos de estos datos se pueden\nencontrar, tambi\u00e9n, haciendo busquedas por internet hay dos diferenciales que\nhacen que el abuso de esta vulnerabilidad pueda tener consecunecias graves.\n“Hay un dato extra que es el n\u00famero de tr\u00e1mite de DNI. Qui\u00e9n lo desarollo\nlo uso como clave para los tr\u00e1mites de Anses. Es como si fuese el c\u00f3digo de\nseguridad de una tarjeta de cr\u00e9dito. Se usa para, por ejemplo, los tr\u00e1mites a\ndistancia”, explic\u00f3 Smaldone.<\/p>\n\n\n\n

“Con ese dato se pueden ver los trabajos, aportes y los\nsueldos de cualquier persona en los \u00faltimos a\u00f1os”, ejemplifica el\ninform\u00e1tico.<\/p>\n\n\n\n

Por otro lado, si bien los datos se pueden\n“googlear” no es lo mismo que tener acceso a base de datos\nactualizada y en un formato f\u00e1cil de manejar. Esto permite que a los fines\npr\u00e1cticos sea mucho m\u00e1s peligroso y utilizable para realizar delitos.<\/p>\n\n\n\n

Desde lo t\u00e9cnico, la explicaci\u00f3n radica en que el servicio\ndel Gobierno usaba un Web Service para poder facilitar las operaciones de esos\ndatos (como, por ejemplo, poder armar una aplicaci\u00f3n que permita consultar en\ntiempo real y de manera actualizada). Posiblemente, a trav\u00e9s de un proceso de\ningenier\u00eda reversa se encontr\u00f3 que alguna aplicaci\u00f3n o servicio redir\u00eda al\nsitio en cuesti\u00f3n. Luego, fue s\u00f3lo cuesti\u00f3n de para ver c\u00f3mo respond\u00eda ante una\ndemanda de informaci\u00f3n. Posiblemente, la manera de hacerlo sea aprovechando\n“bugs” y problemas en versiones desactualizadas del software.<\/p>\n\n\n\n

Un detalle que ayuda a entender la magnitud del descuido: el\nsitio no incorpor\u00f3 la medida m\u00e1s b\u00e1sica de seguridad; el Captcha (un proceso\nque no puede saltearse usando automatizaci\u00f3n). <\/p>\n\n\n\n

En particular, el servidor del sitio estaba montado bajo el\nsistema operativo Ubuntu en versi\u00f3n 12.04; una versi\u00f3n que desde hace 2 a\u00f1os no\nrecib\u00eda actualizaciones de seguridad.<\/p>\n\n\n\n

Seg\u00fan parece, luego de la exposici\u00f3n en redes sociales el\nd\u00eda viernes, ya no es posible acceder a los datos al modificar la URL del\nsitio. <\/p>\n","protected":false},"excerpt":{"rendered":"

Seg\u00fan confirmaron diferentes expertos, el sitio de datos de Seguridad Social del Gobierno presentaba serias fallas de seguridad y desactualizaci\u00f3n A trav\u00e9s de redes sociales, diversos expertos en inform\u00e1tica y seguridad expusieron algunas graves fallas del sitio de Procrear que permiti\u00f3 acceder a los datos de CUIT y a la contrase\u00f1a de tr\u00e1mite de todos los usuarios a trav\u00e9s de una base datos recopilada por Anses. Al parecer, el sitio web de Procrear presentaba varias vulnerabilidades serias que permit\u00edan a cualquiera hacer pedidos de informaci\u00f3n a la base de datos…<\/p>\n","protected":false},"author":3,"featured_media":46781,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[2],"tags":[],"_links":{"self":[{"href":"https:\/\/www.actualidadadiario.com\/index.php\/wp-json\/wp\/v2\/posts\/46780"}],"collection":[{"href":"https:\/\/www.actualidadadiario.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.actualidadadiario.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.actualidadadiario.com\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.actualidadadiario.com\/index.php\/wp-json\/wp\/v2\/comments?post=46780"}],"version-history":[{"count":1,"href":"https:\/\/www.actualidadadiario.com\/index.php\/wp-json\/wp\/v2\/posts\/46780\/revisions"}],"predecessor-version":[{"id":46782,"href":"https:\/\/www.actualidadadiario.com\/index.php\/wp-json\/wp\/v2\/posts\/46780\/revisions\/46782"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.actualidadadiario.com\/index.php\/wp-json\/wp\/v2\/media\/46781"}],"wp:attachment":[{"href":"https:\/\/www.actualidadadiario.com\/index.php\/wp-json\/wp\/v2\/media?parent=46780"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.actualidadadiario.com\/index.php\/wp-json\/wp\/v2\/categories?post=46780"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.actualidadadiario.com\/index.php\/wp-json\/wp\/v2\/tags?post=46780"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}