Speedtest con Fecha y hora actual NPERF - Regulatorio

miércoles, 9 de septiembre de 2020

CORONA-PLATAFORMAS EN BOGOTÁ ¿LOS DATOS BOGOTANOS FUERON EXPUESTOS ?

Por: Ricardo A Ochoa G.


La Superintendencia de Industria y Comercio, el 5 de agosto de 2020, emitió una alerta muy seria, sobre el manejo irregular de los datos personales, y le ordenó a la Alcaldía “implementar medidas de seguridad apropiadas y efectivas para impedir el acceso o descarga de la información recolectada y tratada en las plataformas denominadas “Bogotá Cuidadora” y “Gabo App””, para lo que otorgó un plazo de 10 días. Aquí les contaremos qué medidas debería adoptar la Alcaldía Mayor, las cuales fueron solicitadas por la SIC en la Resolución 45002 del 5 de agosto de 2020.




Gabo App, y Bogotá Cuidadora son el resultado, conforme al Decreto Nacional 749 de 2020, de entender la libertad como una excepción, cuando la excepción en el transcurrir de la vida de los ciudadanos es el aislamiento en sí mismo. Dispone el parágrafo 1 del artículo 3° del mencionado Decreto: “Las personas que desarrollen las actividades antes mencionadas deberán estar acreditadas o identificadas en el ejercicio de sus funciones o actividades”. Esto generó la posibilidad de dos problemáticas; en primer lugar, que algunos ciudadanos para justificar salir falsifiquen o inventen autorizaciones; en segundo lugar, que la autoridad policial pueda llegar a desconocer una autorización que efectivamente sea válida. 

Es de reconocer que la idea original era incluso “noble”, Gabo App y Bogotá Cuidadora buscaban centralizar y acompañar el registro de los nombres y los movimientos de todas las personas que, por su función o actividad, debieran salir en el aislamiento para realizar cualquiera de las 43 actividades exceptuadas. Los ciudadanos que quisieran utilizar el servicio, acceden al portal WEB www.bogota.gov.co/bogota-cuidadora, o descargan la app GABO, donde diligencian sus datos para movilidad segura, y a vuelta de correo reciben una constancia de registro que sirve como acreditación. Además, se esperaba que brindara otros beneficios a los ciudadanos, como por ejemplo una base de datos para facilitar la entrega de ayudas. 


En ese mundo ideal, incluso desde la respuesta que da la Secretaría General de la Alcaldía Mayor de Bogotá (a la que piensan vincular la Agencia de Analítica de Datos) parecería que todo está en regla. Sin embargo, en el análisis de vulnerabilidades de la SIC se detectaron no una ni dos fallas, sino DOCE, que incluyen cosas tan básicas como haber dejado expuestos y sin ningún tipo de autorización o seguridad, como lo exige las normas sobre protección de datos, los directorios donde se estaba alojando la información que los bogotanos depositaron, confiados en que la Alcaldía cumplía con la debida protección de sus datos personales. Es por ello que, sin más preámbulo, procedemos a explicar algunos de los hallazgos efectuados por la SIC, que requiere a la Secretaría General de la Alcaldía modificar:


  • “Reconfigurar de forma inmediata el servidor “tramitesenlinea.saludcapital.gov.co” puesto que expone información de carácter personal en 6 directorios, tal como se detalla en el análisis de vulnerabilidades del presente documento”.


La navegación directa a directorios es una falla muy común en páginas web de baja seguridad. También conocido como “Browseable Web Directories”, permite que la información que se recolecta o que se presenta en una página web pueda accederse directamente desde cualquier equipo conectado a Internet. Esto significa que la SIC pudo detectar que información de carácter personal, como podría ser la información recolectada correspondiente a los ciudadanos que se registraron en tramitesenlinea.saludcapital.gov.co, como por ejemplo actas de grado y diplomas de personas naturales, cédulas de ciudadanía e incluso actas de exhumación, pudo ser expuesta, y por tanto podrían existir personas malintencionadas que hayan descargado esa información para comercializarla, o peor, podría haber caído en manos del mercado negro de datos personales, donde se cometen actos ilícitos con ella. En resumen, una muy grave falla de seguridad, donde quedaron expuestos según la SIC, los siguientes directorios:




Al momento de redactar este artículo, el 27 de agosto de 2020, ya no era posible acceder a los directorios señalados desde internet, y durante la revisión del artículo, para el 2 de septiembre de 2020, en la interfaz de inicio de la plataforma de Bogotá Cuidadora ya aparecía un aviso de privacidad. Sin embargo, no es ello sinónimo de un problema solucionado. Veamos el siguiente punto.



  • “Realizar las configuraciones necesarias al servidor “reddecuidadociudadano.gov.co” para resolver las vulnerabilidades detectadas y en especial la relacionada con la navegación entre directorios que expone el contenido de 129 directorios a los cuales se puede acceder sin ningún tipo de autorización”.


La misma falla descrita en el caso anterior, pero esta vez, con 129 directorios expuestos. La SIC considera que, si bien no se detectó a primera vista información personal expuesta, dicha vulnerabilidad podría afectar seriamente la aplicación. A pesar de que la SIC, el 5 de agosto de 2020, había otorgado 10 días para solucionar estas fallas, al momento de redactar este artículo el 27 de agosto de 2020 y al revisarlo nuevamente el 2 de septiembre, he encontrado que aún es posible ingresar sin autorización a los directorios http://40.117.120.123/css y http://40.117.120.123/img de la página reddecuidadociudadano.gov.co




Como se pudo observar, no se había acatado plenamente la recomendación de la SIC a fecha 2 de septiembre de 2020.



  • “Se deben realizar los ajustes correspondientes para resolver las vulnerabilidades reportadas para la aplicación que permite el registro de síntomas, en especial la vulnerabilidad “Cross Site Scripting” reportada con severidad alta”.


El Cross Site Scripting es una vulnerabilidad conocida como XSS por sus siglas en inglés, se encuentra en el TOP 10 de vulnerabilidades de OWASP, y consiste en el agujero que se genera en una página WEB, que permite que un atacante pueda quedarse con los datos que son suministrados allí. 


El XSS genera graves riesgos, pues permite inyectar contenido en la aplicación y modificar su presentación ante los usuarios, de manera que puede inducir al usuario a correr el código malicioso que ha sido inyectado mientras carga la página. La vulnerabilidad XSS debe ser solucionada, por ser muy peligrosa para la suplantación de cualquier sitio web.



  • “En todas las opciones que componen la plataforma web y la aplicación, se deben implementar mecanismos que permitan garantizar que la información sea registrada por los titulares de esta y evitar registro de datos erróneos, fraudulentos o sin veracidad”.


Para prácticamente cualquier tipo de recolección y tratamiento de datos, la comprobación de identidad es necesaria, para evitar suplantación y garantizar que los titulares de la información sean quienes la suministran y la autorizan. Por este motivo la SIC impone la obligación de garantizar que sean los titulares los que suministren los datos y autoricen su uso, para lo cual, las plataformas de la Alcaldía deben establecer un mecanismo que valide la titularidad y la autorización suministrada.


En conclusión, se observa que hay evidencia de un alto riesgo para los datos que los bogotanos suministraron hasta antes de las medidas dictadas en la Resolución SIC 45002/2020, conforme a lo corroborado por la misma Superintendencia de Industria y Comercio, ente encargado de velar por el cumplimiento de las normas sobre protección de datos, que permitió conocer el riesgo al que se expuso a quienes depositaron allí sus datos, por el uso poco seguro de los mismos.


Es preocupante el escenario, más cuando mediante el artículo 145 del Plan de Desarrollo 2020 - 2023, se planea crear toda una empresa dedicada al tratamiento de datos; sociedad por acciones denominada Agencia de Analítica de Datos del Distrito, cuyo objeto comercial deja entrever que no es clara la finalidad que se persigue. ¿Corresponde éste a mejorar las políticas públicas? En ese mismo artículo probablemente confundieron la analítica multipropósito con “Analítica multifinalitaria”, lo que hace pensar que se desconoce que existe un principio universal de finalidad, que debe acatarse para la recolección y tratamiento de los datos. Esto sumado a lo que ha mencionado la SIC respecto a la falta de seguridad existente en Bogotá Cuidadora y GABO App, desdibuja el escenario, más cuando, enmarcados en la territorialidad, se podrían estar recolectando datos de toda una Ciudad-Región que sumaría los habitantes de Bojacá, Cajicá, Chía, Cota, Facatativá, Funza, Gachancipá, La Calera, Madrid, Mosquera, Sibaté, Soacha, Sopó, Tabio, Tenjo, Tocancipá y Zipaquirá, que acorde a las cifras del Censo Poblacional de 2018 suministradas por el DANE, sumaría alrededor de 9 millones de habitantes[1].


[1] Portal El Nuevo Siglo. Editorial: Bogotá-región, potencial en deuda [en línea]. Disponible en: https://www.elnuevosiglo.com.co/articulos/10-2019-bogota-region-potencial-en-deuda [Consultado el 2 de septiembre de 2020]


Fuentes consultadas:


Portal Superintendencia de Industria y Comercio.

https://www.sic.gov.co/slider/la-superintendencia-de-industria-y-comercio-en-su-calidad-de-autoridad-nacional-de-protecci%C3%B3n-de-datos-se-permite-informar-lo-siguiente-1
on
Etiquetas:

No hay comentarios.:

Publicar un comentario

Bienvenido(a), este es un espacio que busca crear y debatir, sobre la regulación y la abogacía de la competencia, para aprender y construir. Muchas Gracias por tus aportes!

Suscribirse a: Comentarios de la entrada (Atom)