Ética y seguridad en tiempo de elecciones, hackers y credibilidad

Este post es producto de la fusión de varios temas que tenía en planes. Quería hablar sobre ética del informático, quería hablar sobre seguridad, quería hablar sobre política, y de pronto tengo todo en uno. Gracias a Acento por publicar el tema político.

Sobre la ética del informático:

A diferencia de otras profesiones colegiadas como el derecho, contaduría, medicina o ingeniería en las cuales se requiere una licencia y adhesión a un colegio profesional, el informático ejerce en una relativa libertad sin las ataduras típicas que conllevan aquellas. Suele ser común que los contratos privados incluyan  acuerdos de confidencialidad (conocidos como NDA), ante la carencia de regulación. En las empresas que se dedican exclusivamente al desarrollo de software, esto se hace con acuerdo entre el proveedor y el cliente. Los términos del contrato suelen definir el tipo de relación, la información que manejarán, los derechos y restricciones que corresponden, siempre de acuerdo al tipo de proyecto en curso.

Por otro lado, cuando el informático ejerce su carrera como auxiliar, típicamente adjunto en una empresa que se dedica a otra rama, obtiene acceso a una amplia variedad de información no tipificada como informática, información propia del negocio y clientes; está obligado a cumplir con el mismo código de ética que el profesional para quien trabaja. Si su jefe es un abogado, debe cumplir con las mismas obligaciones que su jefe; si trabaja en un hospital debe respetar la confidencialidad médico-paciente.  El informático hereda las responsabilidades y deberes.

Sobre la seguridad informática:

Con frecuencia nos toca manejar “papeles” e información cuyo valor real no conocemos y/o apreciamos. Un mensajero puede llevar un documento que para él quizás sea otro documento mas, pero quizás para el destinatario tenga un valor millonario. Ejemplo de esto fue cuando a finales de 2008 el presidente Leonel Fernández envió via mensajero en motocicleta el proyecto de presupuesto nacional para 2009. Ese mensajero quizás no tenia idea de que en sus manos estaba el plan de gobierno para todo un año.

El informático debe ponderar que la información que maneja puede ser valiosa, inestimable, para su cliente, su jefe, o los clientes del jefe, o cualquier persona involucrada. Es por ello que el informático debe velar porque los datos bajo su responsabilidad se mantengan bajo la mas estricta confidencialidad, a menos que por su naturaleza se destinen al consumo del público, y aún en dicho caso debe hacerse bajo la supervisión adecuada.

Lo normal, la regla, en los paises civilizados, es que la información personal sea privada y solo accesible a quienes necesiten acceso para ello. Un ejemplo notorio fue cuando el actor George Clooney tuvo un accidente en motocicleta y 27 empleados del hospital fueron suspendidos por acceder a su historia clinica sin autorización. Es lo normal: no puedes acceder un dato a menos que lo necesites. Otro ejemplo, también en California: si alguien puede acceder los recursos de una empresa mediante hackeo, robo, etc. dicha empresa debe notificar por escrito a todos y cada una de las personas cuyos datos hayan estado en riesgo.

En nuestro pais no existe una Ley de Protección de Datos  que garantice la privacidad de la persona (que alguien le lleve la idea a Pelegrin Castillo, por favor). Y aunque tenemos la Ley 53-07 sobre crímenes y delitos de alta tecnología, esta no hace referencia a la privacidad y protección de los datos personales, como el derecho a que tu fecha de nacimiento, tu numero de cedula, etc. no sean públicas. El estado mismo incumple este tipo de regulación cuando permite que una búsqueda por nombre en Google devuelva un resultado con cédula y demás datos. Esto es fácilmente evitable sin necesidad de eliminar la cédula, pero ese es otro tema.

 

El informático, la ética, la seguridad y la política:

En un pais medianamente civilizado los datos de sus ciudadanos son celosamente protegidos, el acceso a los datos personales es restringido solo a aquellos que lo necesitan y mediante los mecanismos adecuados. En nuestro país algunas instituciones públicas disponen del padrón, empresas privadas como bancos, telefónicas y empresas crediticias también obtienen acceso con el pago adecuado, además de los partidos políticos. Y por alguna brecha que siempre queda abierta, cualquiera con un mínimo de de esfuerzo puede conseguirlo con relativa facilidad.

Basta una búsqueda en Google; una muestra palpable de ello es por algún descuido, negligencia o dejadez una empresa privada lo coloca en su web con acceso público:  buscar el padrón en Google y rápidamente llegaremos a una de las varias páginas donde puedes descargarlo: http://galenosystem.net
Solo necesitas descomprimir e  instalar un servidor de base de datos en tu PC.

galenosystem-net__0

Esta es solo una manera fácil y rápida de conseguirlo para quien quiera usar google. Cualquiera con 5 mil pesos podría conseguirlo en el mercado negro, y esto es algo muy preocupante, pues se trata de información personal, privada, sensitiva, de todos nosotros:

Datos públicos de 6.27 millones de personas

En tiempos de elecciones, y más unas elecciones con tantos incidentes como estas, es más que preocupante que un documento de este tipo ruede de mano en mano. Veamos porque:

Danilo Medina

Danilo Medina

Hipolito Mejía

Hipolito Mejía

Por un lado está el riesgo que implica que los datos personales de todos los ciudadanos, incluyendo nombre, dirección, teléfono, fecha de nacimiento, etc. estén disponibles en una entidad privada quizás autorizada a usarlos, pero no a distribuirlo, no con esta facilidad. Abogados conocedores de la legislación vigente aseguran que es totalmente ilegal, que no existe razón alguna para que una empresa privada permita que dicha información sea accesible públicamente. Más aún: la misma JCE limita el acceso a instituciones del sector gubernamental y financiero.

Recuerdo que hace unos años hubo un pequeño escándalo cuando oficiales de las fuerzas armadas solicitaron una copia del padrón a la JCE para uso interno, la cual fue negado por la JCE y provocó un episodio de esos a los que estamos acostumbrados.

Por otro lado están las dudas e inconsistencias que surgen al analizar los datos que se encuentran en el padrón disponible mas arriba, los cuales quizás no estén al dia, pero aún así son casi 6.3 millones de personas en esa lista.

Al hacer un análisis rápido surgen algunas interrogantes que ponen en duda el trabajo de la JCE, las posibles pretenciones de algún partido, la eficacia de instituciones de seguridad nacional y/o quienes están dándole uso a dicho padrón. Veamos:

Una consulta de un nombre común, por ejemplo todos las personas cuyo primer nombre es “Juan” y su primer apellido es “Pérez” arroja 3,720 resultados, hay 3,720 Juan Pérez o Juana Pérez en el país. Haciendo una búsqueda de cuales de esos Juan Pérez donde coinciden en nombre, apellido, fecha y lugar de nacimiento, arroja 68 personas, cada una con 2 cédulas (osea: 136 resultados). Con un nombre menos común, como Manuel González arroja 636 resultados, de los cuales 4 corresponden a personas con 2 cédulas (osea: 8). Veamos:

Duplicados del nombre Manuel Gonzalez
Duplicados del nombre Manuel Gonzalez

Cabe preguntarse: ¿Cuantos duplicados existen? ¿Se corrigieron? ¿Cuando? ¿Votarán en estas elecciones?

Ante estas preguntas lo procedente es verificar; al tomar una muestra aleatoria de 17 de los 68 pares de Juan Pérez (un 25%), se pudo confirmar en la web de la JCE  http://consultacedulados.jce.gob.do/web/CONSULTAPADRÓN.aspx que al menos 3 de ellos tienen sus 2 cédulas hábiles para votar el proximo 20 de mayo, es decir se confirmaron 6 cédulas válidas de 34 muestras: 

JUAN CARLOS PEREZ LIRIANO / 1974-05-30 / MOCA
054-0082308-3 y 054-0115192-2

El señor Pérez Liriano, nativo de Moca, nacido el 30 de mayo de 1974, parece tener 2 cédulas ¿o son dos gemelos con el mismo nombre?
Curiosamente ambas cédulas son válidas.

perez-liriano-0

perez-liriano-054-0082308-3

perez-liriano-054-0115192-2

JUAN PEREZ PINEDA / 1963-02-27 / VICENTE NOBLE
079-0001874-3 y 079-0000277-0

perez-pineda-0

perez-pineda-079-0001874-3

perez-pineda-079-0000277-0

JUAN RAMON PEREZ BAEZ / 1955-10-20 / RIO ABAJO SAN JOSE DE OCOA
013-0004742-8 y 013-0003406-1

perez-baez-0

perez-baez-013-0004742-8

perez-baez-013-0004742-8
Está más que claro que existe una cantidad indeterminada de personas con mas de una cédula, en capacidad para votar.

Tomando esa muestra y extrapolando se puede inducir que posiblemente más de un 1%  de los votantes tiene 2 cédulas con números diferentes, lo cual podría fácilmente superar los 100 mil personas.

De la muestra tomada se pudo verificar que más de un 15% de las duplicadas son actualmente válidas para votar en las elecciones del próximo 20 de mayo. Y  se trata de un padrón aparentemente obsoleto, quizás de las últimas elecciones. ¿Como lucirá el nuevo? ¿Aún contiene los mismos errores sin depurar? Se puede verificar que aún contiene al menos algunos viejos duplicados.

Estamos hablando de que los resultados pueden alterarse, y no es hackeando las redes de la telefónica como temía el Presidente de la JCE. No es violentando electrónicamente, sino aprovechándose del factor humano, el descuido en la depuración y la duplicidad de cédulas, algo fácilmente detectable.

Ahora podemos obviar el tema electoral y preguntarnos ¿Cual es la posicion de las autoridades ante una situación así?

Respecto a la página web donde está el padrón:
La JCE fue notificada de la situación el dia 21 de marzo.
El Departamento de Investigación de Crímenes de Alta Tecnología fue notificado el dia 22 de marzo.

Las elecciones se acercan y aún todo sigue igual. Al parecer, todo indica que para las autoridades tener esa información en línea es perfectamente legal. A pesar de que abogados consultados aseguran que no lo es.

Es preciso aclarar nuevamente que toda esta información es accesible públicamente. No hay que ser un genio ni un hacker para obtenerla, pues simplemente está abierto, solo hay que saber usar un buscador, como Google.

Mientras tanto, la JCE hace allanamientos buscando 1,500 personas que han sacado mas de un duplicado, los cuales “Solicitaron 18,791 duplicados; entre 10 y 58 por persona”. Los allanamientos apuntaban a 146 personas en particular. La JCE persigue ahora a personas que solicitaron (y obtuvieron) multiples cédulas entre los años 2001 y 2006. Esperaron que pasaran 5 elecciones, y 6 años para perseguirlos ahora, y así aparentar que están trabajando y obtener buenos titulares.

Los datos del padron en cuestión desmienten la cifra de 1,500 que da la JCE, pues solo Juan Pérez y Manuel Gonzalez son 72, de una muestra de 4,356 cedulas al menos 72  (¿o 144 si contamos 2 cédulas por cada uno?) merecen ser investigadas (alrededor de un 1.65% de la muestra analizada), lo cual extrapolando a los 6.5 millones daría alrededor de 100 mil.

Mientras tanto, la JCE hace allanamientos buscando a la persona que sacó 58 duplicados:  ¿Porque no lo hizo cuando fue a sacar el segundo? ¿El tercero? ¿el 57mo? Evidentemente se van por las ramas, cuando el problema está en la raiz.

Sin dudas hay algo sospechoso en la data de la JCE.

Dejemos a la JCE, vamos al DICAT:

Aqui vemos como hace apenas una semana el Departamento de Investigación de Crímenes de Alta Tecnología se ofrece vía Twitter a ayudar a una joven a recuperar su contraseña de Facebook, al mismo tiempo que ignoran un tema de seguridad nacional: https://twitter.com/#!/DICAT_PN/status/195468391811792896

Es curioso: la joven le pregunta a una persona y el DICAT le responde a ella.

El DICAT trabjando

A veces sorprende la eficiencia con que las autoridades resuelven algunos casos, o la enorme atención que le prestan, olvidando otros quizás a propósito, igual de graves, o peores.

Pero esto no termina aquí: un partido político coloca los datos del padrón, incluyendo nombres, dirección, cédula, foto, etc. en su web de forma abierta. Aunque en otro formato y restringido para búsquedas, forma parte de sus trabajos para facilitar la verificación de sus militantes.

¿Porqué se da esta situación? ¿Donde se establecen responsabilidades? ¿Porque en 6 semanas la JCE no ha hecho nada al respecto? ¿Porque en 6 semanas el DICAT no persigue este caso, un caso serio, pero se dedica a recuperar contraseñas de Facebook y/o perseguir adolescentes para acusarlos de terrorismo? ¿Porque un partido mayoritario publica listas de ciudadanos de esa forma?

Finalmente, la pregunta del millón: ¿Bajo que excusa ocurre la publicación de los datos privados, como cédula, foto, dirección y teléfono de 6.3 millones de ciudadanos, actividad practicada por empresas públicas y privadas, ademas de partidos políticos?

Reitero nueva vez que este artículo se escribió usando fuentes públicas. Todo lo que se ve aqui puede hacerse con un navegador y conexion a internet, sin necesidad de usar siquiera una contraseña en ningún lado. 

 

Melvyn Perez

Desarrollador web. Prepotente, arrogante y narcisista. Adicto a la Coca Cola, la cerveza Presidente y chicas con hoyitos en las mejillas..

You may also like...

Deja un comentario...

Loading Disqus Comments ...
Loading Facebook Comments ...