www.DatoSeguro.gob.ec NO es seguro

Tema: 

Hace unos meses, a través de mi cuenta de Twitter, alerté que la iniciativa www.DatoSeguro.gob.ec no era segura: El sistema de verificación de identidad que exige al usuario cuando se registra a colocar la identificación dactiloscópica de su cédula de identidad NO es suficiente. Si yo tuviera una copia de la cédula de identidad de cualquier persona, podría registrarme a nombre de esa persona.

Incluso, si esa persona es el Presidente de la República.

El tema perdió importancia por unos meses, hasta este fin de semana (sab24 y dom25 de noviembre), en que leí la historia de Matt Honan, escritor de la revista WIRED, que sufrió de robo de identidad (Kill the Password: Why a String of Characters Can’t Protect Us Anymore - http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/). Con ese artículo rondando en mi cabeza, borré todas mis tarjetas de crédito de los sitios de internet y cambié mis contraseñas por unas mucho más seguras, siguiendo los consejos que se mencionan ahí.\r\n\r\nY el tema de www.DatoSeguro.gob.ec me volvió a la mente.

Hacerse pasar por cualquier persona en www.DatoSeguro.gob.ec es muy fácil. No se necesita más que una cuenta de correo electrónico y un poco de tiempo.

Debo aquí declarar que lo que hice fue hecho para mostrar una falla GRAVE, gravísima de seguridad en un sistema que declara ser seguro, desde su propio nombre. No se hizo para delinquir o para divulgar información que pueda ser utilizada con malas intenciones, ni para vender la información, chantajear o cualquier otra clase de acto ilegal o inmoral.

Con estos antecedentes, explico lo sucedido:

Preocupado por el artículo de M. Honan, volví a pensar en www.DatoSeguro.gob.ec. Yo sabía, tenía la total certeza, de que el sistema no era seguro. ¿Cómo llamar la atención para que el sistema sea mejorado, para que esa brecha de seguridad tan obvia sea cerrada? Lo único que se me ocurrió fue lo que hice: Crear el usuario y contraseña del Sr. Presidente Rafael Correa.

Buscando en internet encontré los datos que necesitaba para crear la cuenta: La fecha de nacimiento y el número de cédula. La fecha de nacimiento la saqué de un sitio de celebridades (http://www.nndb.com/people/744/000162258/) y el número de cédula en el texto completo de la demanda del Sr. Presidente contra El Universo (http://rafaelcorreacontraeluniverso.eluniverso.com/demanda-contra-diario-eluniverso/).

El único dato que me faltaba era el \"Indice dactilar\". Por curiosidad, alguna vez me fijé en los índices dactilares de las cédulas de identidad: todos son muy parecidos. Hay una V o una E o una A seguido de varios números: V23444 - E5444 y así... combinaciones muy sencillas, aparentemente. El sistema me preguntaba los números 3 y 4 del índice dactilar. Con la primera combinación de números acerté y mi cuenta fue creada. Luego de verificar el correo electrónico que envía el sistema, ahora tengo acceso a todos los datos "seguros" de Rafael Vicente Correa Delgado.

Absolutamente sencillo. Me tomó media hora, tal vez menos.

La información que se encuentra en el sitio es delicada: Antecedentes penales, viajes al exterior, registro de vehículos, registro de propiedades, títulos universitarios... Alguien con malas intenciones podría hacer muy mal uso de esta información.

Esta falla de seguridad es GRAVISIMA, no solo por la cantidad de información que contiene sino por la intención del sitio que debe mantener los DATOS SEGUROS de todos los Ecuatorianos. La ley del sitema nacional de registro de datos públicos puede ser consultada aquí: (http://www.dinardap.gob.ec/institucion/nuestra-institucion.html).

¿Cuál es la solución? Que www.DatoSeguro.gob.ec corte INMEDIATAMENTE el acceso a sus bases de datos de TODAS las cuentas registradas. La verificación de la identidad deberá hacerse en persona, con cédula de ciudadanía original y en ese momento se entregaría la contraseña. Como lo hace el IESS.

Y además, revisar TODOS los procesos que se estén implementando de acceso a datos públicos a través del internet: Registro de la propiedad, mercantil, civil, policía, migración, cancillería... TODOS.

Adjunto a este mensaje dos capturas de pantalla de la cuenta creada en www.DatoSeguro.gob.ec y del correo de confirmación. La contraseña de acceso al portal y al correo electrónico que creé para registrarme, estarán a disposición del Sr. Presidente cuando las requiera.

Saludos

Paul

Comentarios

Alguna vez se me ocurrio

Imagen de Root Bit

Alguna vez se me ocurrio hacer lo mismo, pero pense que el tema del indice dactilar ofrecia una mediana seguridad al momento de la verificacion, pero queda demostrado que no es asi.

Reportaste de tu hazana a las autoridades o entes pertinentes ?? creo que es una de las formas de descargo que tendrias en caso de que te quieran acusar de "robo de identidad".

There are only 10 types people in the world:
Those who understand binary and those who don't

Re: Alguna vez se me ocurrio

Hola RootBit:

Pues nada, cero seguridad. Lo más "sentido común" debía ser completar el registro en persona.

Acerca de reportarlo a las autoridades, por la misma razón lo hice público.

Saludos

PMA

vaya la verdad yo desde q

Imagen de falcom

vaya la verdad yo desde q escuche el concepto de datoseguro donde se almacenara toda mi info.... ups, me dije jamaz usar algo asi, las respuestas tu me las has dado, por mas seguridades q les coloques siempre habran bugs o inconsistencias de registros como explicas en tu caso..otra cosa y que es posible es el acceso a la db y ... puff se acabo datoseguro...

Y la privacidad?

Imagen de lenchanteur

Yo tengo una inquietud. La verdad es evidente que una gran cantidad de aplicaciones en la web tienen fallas graves de seguridad. Mi pregunta es, en nombre de esa inseguridad se puede hacer esto? Se que se hace a diario, pero es ético?, o incluso legal?, ahora que tenemos la ley de registro de datos públicos. De lo que entiendo, aún a pesar de las buenas intenciones, acceder sin permiso a la información privada de otro está mal, y es hasta ilegal, o me equivoco?

José Antonio L'enchanteur

Re: Y la privacidad?

Hay muchas fallas en muchas aplicaciones, eso es cierto. Y arreglar esas fallas depende de los técnicos, no de los usuarios.

Entre lo legal y lo ético puede haber una gran, gran brecha, como mencionas. Es ilegal divulgar esos datos, lo cual no hice, ni siquiera de forma anónima. Pero es absolutamente antiético dejar esa puerta abierta que permita a cualquier persona abusar de esa información. Si creaba la cuenta de Pedro Guamán, nadie hubiera hecho caso. Tenía que ser la del presidente para que tomen acciones.

Saludos

PMA

desde el nombre

Me parece que desde el nombre, “Dato Seguro”, muy pretencioso para mis estándares, y de hecho parece lanzar un reto.

También lo había pensado, por la seguridad que desde la plataforma en si misma podía ofrecer, pero no llegué a imaginarme que en media hora uno puede llegar a tener un “acceso legítimo” a los datos privados de alguien más.

Me parece un buen trabajo, hay que hacerlo y que se tomen la medidas correspondientes para cerrar brechas de seguridad tan escandalosas.

Saludos cordiales.

Paul, buen análisis. Deberías

Imagen de Epe

Paul, buen análisis. Deberías además contactar al Presidente por twitter para indicarle de esto y que movilice a los de datoseguro y hagan algo serio, y que no sea en Windows!

Si supieras que yo ayer venía pensando en el tema del índice dactilar.. caramba fueron 5 horas manejando con neblina de Cuenca a Ambato y uno piensa muchas estupideces cuando viaja sólo.

Así que dije, datoseguro tiene un problema claro, esto del índice dactilar, porque a uno le piden continuamente copia de la cédula... y vaya qué coincidencia.. tú le aciertas.\r\n\r\nY te comento, hace un tiempo ví en algún lado (no recuerdo ahora pero puede ser el mismo sitio de la presidencia) donde declara sus bienes al ingresar a tomar el cargo, es un documento notariado y este documento estoy seguro está la cédula.. declaración de bienes es no?

El número de cédula lo podías obtener antes del cne, pues cuando te decía dónde votabas, ahi salía. Igual puede salir del senescyt cuando vas al registro de títulos y algunos municipios en su consulta de catastro también te sacan el número de cédula. En el SRI si pones los apellidos en la consulta del ruc igual sale, el resto tu te fuiste por adivinar, cosa válida.. pues además piden dos numeros, en el peor escenario son 100 intentos.. y la otra es buscar copia de la cédula en algún lugar que esté publicada.

Con este numero de cédula incluso te puedes enterar de su estado civil yendo a www.corporacionregistrocivil.gov.ec y en servicios en línea enterarte del nombre del cónyugue y seguir averiguando mil cosas...

Lamentablemente toda esa información debería analizarse seriamente y no publicarse si el usuario no lo solicita, es bien grave, porque luego pueden haber muchos más escenarios preocupantes.

Si se fijan, la información está aparentemente dispersa, entre varios entes que a veces no tienen que ver entre sí, pero alguien con interés puede obtenerla.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Páginas