El mal manejo de la información personal chilena
En los últimos días la noticia de la filtración de datos de aproximadamente seis millones de chilenos ha sido un tema bastante recurrente en la prensa, tanto nacional como internacional. Durante el transcurso de la noticia, me he dado el trabajo de revisar múltiples fuentes de información para llegar al trasfondo real de los hechos, y he podido encontrar prácticamente de todo: sensasionalismo, medios que informan mal, y muy pocos medios que realmente abordan el hecho por el lado que corresponde. Todos sabemos que ningún medio de prensa tiene la verdad absoluta, pero lo que sí es preocupante es que las autoridades de Gobierno de turno se dejen llevar por los dichos de la prensa y no indaguen el asunto como es debido.
Los antecedentes
Esto no es nuevo. En el Blog Seguridad Informática se publicó hace nueve meses la existencia de problemas de seguridad en sitios Web del Gobierno, ejemplificando la situación con la obtención de datos privados de una de las hijas de la Presidente de la República.
Desde ese momento o quizá mucho antes que hay gente aficionada al asunto recopilando listas con datos personales extraídos desde estos sitios Web con propósitos de demostrar la falla, o bien para lucrar con nuestra información mientras son amparados por la legislación actual.
El punto álgido
Corría la madrugada del sábado y en un momento de ocio encendí el notebook para entrar a Internet. Inmediatamente me habló mi compadre EnAnO pidiéndome con urgencia que leyera FayerWayer. Entonces comencé a buscar los ficheros que continen las dichosas bases de datos gracias a una pista dejada por quien los divulgó, los descargué, comprobé que efectivamente se trataba de información verídica y emití un comentario en FayerWayer.
Al mediodía del domingo, desperté con una caña horrible. Me conecté a Internet como de costumbre, y nuevamente me habla el EnAnO para decirme que habían hecho referencia a un comentario mío en FayerWayer en el sito Web del periódico El Mercurio. Me costó unos minutos reaccionar y darme cuenta que efectivamente era mi nickname el que aparecía, y ahí me percaté efectivamente de los ribetes insospechados que puede alcanzar el sensacionalismo en la prensa chilena. Acto seguido, FayerWayer se llenó de visitas en búsqueda de los ficheros con las bases de datos y como todo en Internet es viral, la noticia comenzó a diseminarse a la televisión, radio y prensa internacional mediante la filosofía del copy/paste.
Si a eso le sumamos los dichos de un Ministro inoperante y desinformado, tenemos la combinación perfecta para que los hechos lograran su tergiversación.
Situación actual
Recién ayer (lunes 12 de mayo) a las 19:15 horas, la Subtel declaró a Radio Cooperativa que no existió hackeo en el hecho de divulgar las bases de datos. Esa idea yo la tuve clara desde mucho antes, pero no tenía total seguridad en el cómo sucedieron algunas de las recopilaciones de información, lo cual demuestra que en materia de tecnologías de la información nuestro Gobierno está pésimamente asesorado y es un tema que no sólo implica informática, sino también es algo fuertemente ligado a la legislación y al sentido común de quienes entregan los medios para consultar información personal mediante Internet.
Primero se habló del "señor Hacker", luego de probables vulnerabilidades en los sitios Web, al rato se dio a conocer a la luz pública que el Servicio Electoral vende información nuestra a empresas por catorce millones de pesos, después se declaró que estas prácticas de transar información personal entre el Gobierno y entidades comerciales eran habituales y finalmente se habló de que debería cambiarse la legislación existente. Pero muy pocos nos hemos cuestionado realmente cuál es el trasfondo de la problemática.
Un RUN vale más que mil palabras
El RUN es el número de identificación nacional correspondiente a cada chileno. Dicho número es asignado por el Registro Civil e Identificación y la única información realmente pública que en rigor debe proporcionar es nuestro nombre completo, sexo, fecha e inscripción de nacimiento, fotografía, huella dactilar y firma. Esa es la misma información que aparece en nuestra cédula de identidad, la cual es un documento público utilizado para validar nuestra identidad frente a otra persona natural o jurídica.
Cuando alguien necesita tener un registro más detallado sobre nosotros, le hacemos llegar un certificado de nacimiento, en donde aparecen —además de los datos básicos de identificación— datos extendidos como el nombre y RUN de nuestros progenitores, y antiguamente aparecía si uno era "hijo natural" o no. Hasta el momento todo parece normal, ya que es éticamente correcto que seamos nosotros mismos quienes entreguemos dicha información a terceros. Pero lo que muchos chilenos ignoran es que el único requerimiento para obtener un certificado de nacimiento ajeno es conocer el RUN del sujeto en cuestión. Es decir, cualquier persona puede pagar para que se le entregue un certificado de nacimiento nuestro en donde aparece, además de nuestra información pública, otra información de carácter privado como la de nuestros padres. Con ello, cualquier persona con el suficiente dinero podría comprar certificados de nacimiento pertenecientes a un grupo de personas y establecer relaciones entre ellos para construir árbol genealógico, con el consiguiente hecho de indagar en la vida privada.
Algunos pueden argumentar que el RUN es algo privado y no se lo dan jamás a nadie, pero ¿qué tan factible es esa idea? El RUN se nos pide para firmar la lista de asistencia de la Universidad, para autentificarnos en un sistema, cuando compramos con cheques o tarjetas entregamos nuestro RUN al cajero de turno, para recibir una transferencia bancaria en una cuenta a la vista se requiere el RUN del titular, etc. Entonces, el RUN es público y es una herramienta que sirve para conocer nuestra identidad y validarnos como ciudadanos chilenos.
Si el RUN es público, entonces ¿cuál es el problema?
Uno de los principales problemas en este asunto es el control deficiente que ejercen las instituciones gubernamentales sobre la información nuestra que se entrega a terceros, tanto a nivel informático como a nivel constitucional. Nuestra legislación permite que cualquiera consulte nuestra información personal desde organismos públicos, y que además ésta pueda ser intercambiada y transada para múltiples propósitos.
Vayamos relacionando por puntos. Si yo exijo la cédula de identidad a otra persona para asegurarme de que es un ciudadano chileno válido, estoy en mi derecho de hacerlo. La cédula contiene información básica para un control de identificación sin tener que necesariamente revelar detalles no deseados. Luego, anoto el RUN de dicha persona y si quiero saber más sobre ella, puedo hacerlo perfectamente gracias a que los organismos públicos le entregan dicha información a cualquier pelagato. Puedo saber quiénes son los padres de dicha persona, y esa información es de carácter privado debido a que es usada como método de autentificación en el Servicio de Impuestos Internos para crear la clave secreta utilizada en los trámites tributarios vía Internet. En conclusión, cualquier persona con los conocimientos suficientes puede estafar a alguien siguiendo estos métodos que son válidos y factibles, gracias a que ciertos organismos gubernamentales no ponen los cuidados necesarios en la realización de estos trámites.
Como prueba de lo que digo, registré a mi abuela en el Servicio de Impuestos Internos utilizando como token el RUT de mi madre. Si esa información cae en malas manos, de seguro alguien habría iniciado actividades tributarias a nombre de mi abuela y estaría cobrando devoluciones de renta a nombre de ella. No estoy seguro si efectivamente es tan así, pero si otro tipo de estafas son posibles, ¿por qué esa no lo será si la información para llevarla a cabo está al alcance de la mano?
Ahora quiero que me digan si es ético o no dicho modo de manejar la información personal. Si fuese ético, nuestros organismos gubernamentales pondrían más énfasis en estos aspectos. Y obviamente que nos hacen falta líderes que sepan sobre tecnologías de información, ya que la informática es una disciplina que trata sobre el manejo de información mediante sistemas automatizados y no la herramienta que le facilita a los parlamentarios ver porno durante las sesiones del Congreso. Quiero dejar en claro que este tema va mucho más allá de lo sucedido con las bases de datos que fueron recopiladas y liberadas a Internet la madrugada del sábado, y principalmente es un tema de deficiencia en el manejo de información privada. Intentar identificar al "señor Hacker", impedir que la información se difunda, y otras cosas, son acciones que no sirven de nada si las organizaciones de gobierno están autorizadas a divulgar datos clave que pueden ser utilizados para fines maliciosos.
La situación en otros países
No quise publicar antes este artículo sin haber investigado cómo funciona la identificación personal en el extranjero. Hace un rato mantuve una conversación con una lectora mexicana de este Blog, y me contó que en su país hace pocos años se asignó un sistema de identificación único nacional —llamado CURP— debido a que antes se debían usar distintos identificadores dependiendo el trámite a realizar. De todos modos en México no es llegar y obtener un acta de nacimiento de alguien, y en muchos otros países como Argentina, EE. UU., Uruguay, Perú y España tampoco es tan relajado el trámite, debido a que dicha información realmente se considera personal.
Quizá no todos estos países cuentan con sistemas automatizados para solicitar dicha información, pero los pocos que lo tienen no la entregan sin antes validar contra una serie de antecedentes la autenticidad de la solicitud y no validarla con un número de identificación que puede ser fácilmente obtenible desde documentos públicos.
Conclusión
No ha sido mucho lo que he expuesto en este artículo, pero considero que el enfoque que le he dado es suficiente razón de peso como para exigir que se reformule la legislación respecto al manejo de la información personal. Hay muchos otros puntos que no toqué ahora, debido a que ya se encuentran publicados en otras fuentes y con harto detalle.
Fuentes
Martes 13 de Mayo de 2008, 02:19:22
Categorías: Gobierno, Tecnología, Sociedad, Cazadores de mitos
Comentar...
Actualmente hay 13 comentarios, ¡falta el tuyo!
Weo, 13 May 2008 @04:58:07 dice:
#1
Bueno segun la info q expones cualquiera esta propenso a que filtren su informacion "personal" d hecho el mismo gobierno lucra con ella, sin lugar a dudas esto va mas alla del tema del robo o filtracion de informacion, por un lado esta el tema de seguridad informatica (en el cual se sabia hace mucho q los encargados informaticos de paginas gubernamentales son inoperantes, es solo cosa de recordar que cualquiera podia ver los puntajes psu o paa de quien quisiera antes de las fechas estipuladas, en ese entonces solo era cosa de buscar el link en el code de las paginas y listo, nada de hacke solo inoperancia), bueno en este caso paso lo mismo y sin lugar a dudas este es un problema pais (jaja como dice la gordis 
D) y eso po... bueno no escribo mas, ya q es muy tarde y tengo sueño, y sin lugar a dudas ni yo mimso me entendere.. cuidate y nos vemos en la U
Alf, 13 May 2008 @20:20:25 dice:
#2
esta muy claro tu comentario pero hay errores informaticos.
si quires saber si una persona tiene un cuaneta en un banco solo metes el rut y cualquier clave , segun respuesta te dira si esta erronea o no existe
y te daras cuenta si es erronea es que tiene cuenta . en chile algunos informacos hacen lo que le dicen pero no piensa como todo el mundo tiene miedo a perder su empleo entonce hace lo que le dice y no aportan.
asi como este error hay un monton que con solo algunos post se pueden saber cosas, aqui lo que falta experto en seguridad, varios bancos tiene ese problema y lo saben , mas tienen certificados de seguridad no validos , porque aqui lo hacen mal,
Mr_Trukit0, 13 May 2008 @20:35:46 dice:
#3
Alf dijo:
si quires saber si una persona tiene un cuaneta en un banco solo metes el rut y cualquier clave , segun respuesta te dira si esta erronea o no existe
Gracias por mencionarlo. Eso es algo que forma parte de una vulnerabilidad tácita en muchos sistemas informáticos, no sólo lo de los bancos. Como tú dices, fácilmente se puede prestar para que mediante los mensajes devueltos se detecte la existencia de una cuenta válida y en función a eso se ejecute un ataque de fuerza bruta.
Otro problema que existe acá en Chile con la informática es que generalmente el personal menos adecuado se delega a ciertas tareas. Por ejemplo, para hacer un sitio Web generalmente los ingenieros contratan diseñadores Web que manejan software WYSIWYG como Macromedia Dreamweaver —en donde tienen muchas cosas prehechas y sin tener exactamente el control de lo que se hace— y la forma correcta de hacer un sitio Web es tener a un diseñador gráfico, un programador Web que entienda de HTML y CSS válido y traduzca a "web" lo que dibuja el diseñador, alguien que se encargue de manejar los modelos y bases de datos, alguien que programe una interfaz para comunicar las bases de datos con la parte Web, y un experto en seguridad que se encargue de revisar vulnerabilidades, como mínimo.
Saludos!
Alf, 13 May 2008 @20:53:22 dice:
#4
Mira yo llevo mucho tiempo trabajando en desarrollo de sistemas online.
lo que paso no me pasa en mis plataformas, pero pude detectar el problema a tiempo, en el carso db online nose como ponen un contador y limitar la cantidad de consultas por ip y cosas asi, son pocas lineas, pero te cuento que a nivel de gobierno los departamentos de informatica son puros pitutos y arreglos , por eso ponen gente sin experiencia y aveces sub contratan los servicios a otras pagando el gobierno 600% vece mas , y los informaticos jefe son el amigo del amigo que tiene un cargo politico yo lo e visto.
hace años presente un proyecto y me lo tiraran a una empresa externa y de los 14.000.000 que cobr tiro el proyecto por 55.000.000, asi que el proyecto no salio porque habia presupuesto de 20.000.000, e visto cada cosa en estos años de gobierno me da pena como roban y roban .
Camilein, 13 May 2008 @21:36:59 dice:
#5
Mmmmm...habria sido bueno poner lo que te comentaba ayer....pero con suerte me acordare la mitad de lo que dije, asi que pondre lo que logre recordar.
bueno, partiendo, dire que es una falla bastante seria de seguridad el que la informacion sensible, se pueda filtrar de forma tan facil..sin mayores dificultades, y tal como citaban en un post mas arriba, esto ya de partida se ve en el hecho de la obtencion de los puntajes de la PSU, antes de la fecha oficial. Son descuidos bastante graves, una seguridad deficiente. Fue un trabajo a medias..que al final provoco un grave problema.
Ah y lo qye ayer decia....donde esta el que tomen en cuenta las medidas basicas para que uns sistema informatico sea...seguro, onda una adecuada autentificacion de las personas, para el ejemplo de los certificados que se adquirian solamente utilizando el RUT.
y esop resume mas o menos lo que comentaba ayer.
saludosssss y excelente articulo
dani, 13 May 2008 @23:19:58 dice:
#6
Qué miedo que anden nuestros datos por ahí, no sólo por la polémica que generó esta filtración sino porque el Servel los estaría vendiendo... Me dio mucha curiosidad y les pregunté por mail recién
Por lo que leí, obviamente necesitamos una legislación acorde a los tiempos que proteja nuestros datos, para resguardar los de quienes no nacen o la que aún no hemos registrado, porque como las fugas vienen de hace rato, la información ya podría estar en manos inescrupulosas y nos estaría afectando por facilidad de acceso a información muy delicada contando con el RUT y/o nombre completo de la persona, por lo que creo que también sería necesaria una modificación en el uso de los datos que, aunque lo veo poco práctico, es la opción que pienso daría tranquilidad sabiendo que ya los nuestros están a disposición de cualquiera.
Alf, 14 May 2008 @02:53:25 dice:
#7
Bueno como todos los datos ya se encuentra disponible, la seguridad es importante, en chile se tiene que utiliza la huella digital para todos las acciones , cobrar un cheque cualquier transaccion,
Porque en chile , no se a ocupado la huella digital, porque politicamente le dieron el favor a Nec para aplicar con sus tecnologia y no funciono,
y perdieron un monton de dinero, ( se lo robaron).
UTILIZAR HUELLA ES SIGNO DE SEGURIDAD,
EXISTE DOS NORMAS ,
BIOMETRIA , LA TERMICA Y LA SCANEADA,
utilizemos norma WSQ que utiliza DBI , siempre aqui en chile
con el afan de improvisar y gastar mas dinero ocpan normas
que no son funcionales, todo para hacer el trabajo 2 veces y cobrar mas
WSQ , Yo desarrollo eso y funciona bien .
por otro lado Servicio Registro civil.
tiene expuesto los Webservice para el servcios , pero algo pasa que no lo liberan , para que las entidades utilizen y validen las transacciones.
como no avanzan cada comañia tendra su propio registro de huellas
señores hay que hacer cambios y trabajar para un chile tecnologico.
pero con gobernantes mediocre no llegaremos a ningun lado.
EL LEMA PARA EL GOBIERNO ES QUE HAGA SU TRABAJO NADA MAS.
yo trabaje en biometria para el gobierno de panama y aya llevan 2 años en funcionamiento , aqui en mi pais , no avanza para ningun lado.
tengo un control de flota para camiiones trabajando en panama .
los lleve a aqui en chile a una muestra , saben que dicen .
que si lo ponen podria fiscalizar el gobierno de chile y multar por no tener las maquinas de la licitacion, entonce prefiere no poner nada
asi nadien sabe que hay y como estan.
Señores , Por favor asi esta mentalidad no llegaremos a ningun lado.
se rigen por contratos y no lo cumple. señores y la fiscalizacion donde esta
hha , hay poco fiscalizadores, los tenemos sacando parte
es un mierda todo . yo de chile e salido a vivir afuera ya 3 veces
y siempre retorno a chile con ganas de hacer cosas, pero aqui
hay mucho por hacer y hay muchos que quieren hacer cosas por chile
pero con tantos herrores y proteccion para los delicuentes y carcel sin terminal y todo a media.
Ya no se , creo que poca memoria tienen en chile , proto sale otra cosa que tapa la otra, presidente lago ex superintendente de Obras publica
todabia tiene metido a los amigos de sus amigos, haciendo que las cosas no funcionen bien , para que , para robar.
creo que en mi siguiente vida sere politico ya que es el medio de hacer webadas . prefiero haber botado por el cura pizarro ya que tenia un amigo en el cielo,
Saludos Alf, de otro mundo
observador, 14 May 2008 @17:32:00 dice:
#8
Propuesta:
Facil, que los blogs de Chile empiecen a publicar TODOS los datos de algunos ciudadanos, empezando por los de los Ministros y luego los congresistas.
Si segun ellos, esto no debe tener maxima prioridad, no les deberia importar o molestar que se ponga de dominio publico, sus nombres completos, direccion, telefono, rut, datos familiares y registros de casas comerciales, prevision y fondos de pension.
facil.
David Andrés Díaz C., 15 May 2008 @01:13:03 dice:
#9
Es un gran aporte para ver qué tan vulnerables somos.
Me recuerdo cuando estábamos hablando rato después de que los datos aparecieran en FayerWater, y me sentí vulnerado completamente cuando nos dimos cuenta de que yo estaba en esos datos, y la facilidad con la que lograste encontrar otras cosas de importancia. Esa fue la gota que revalsó el vaso.
Acá no hay ley que nos proteja, no hay que hable sobre el cuidado de nuestra información, tanto en el sistema público como privado, y lamentablemente es un punto a favor para todas las empresas, organizaciones e instituciones que terminan con nuestros datos en su poder, y que curiosamente a nosotros nos llega algún tipo de publicidad o llamada telefónica de parte de ellos.
También muestra la impericia de los legisladores para poder asesorarse de manera adecuada en estos temas, y de no poder legislar como corresponde, para todos nosotros.
Una alerta y un precedente para que nosotros hagamos incapié en que esto no puede seguir sucediendo, necesitamos que nuestros datos, que consideramos personales, se resguarden como tales, y no terminen en hechos como éste, dando vueltas en la red a mercer de cualquier escrupuloso.
Creo firmemente que más que reclamar hay que actuar. Así como hicieron un movimiento de liberación digital, por qué no uno de protección de información personal?
"Defiende tu privacidad, apoya la protección de información personal".
Saludos amigo.
lancedehm, 15 May 2008 @10:02:07 dice:
#10
Lamentablemente las leyes constitucionales de nuestro país permiten todo lo comentado anteriormente... que más podemos hacer si, aunque teniendo los mejores sistemas de seguridad, anti-filtración y protección, el estado no nos asegura la privacidad de nuestra información?
De una u otra forma (y hasta legalmente) se puede conseguir información personal personal de todas las personas, dígamenlo a mi que desde hace año vengo viendo esto dentro de muchas empresas y estrategias de negocios... (ustedes saben lo que paga VTR a Entel por sus registros ciudadanos???????, o lo que le sale a una empresa de marketing conseguir correos desde estatutos públicos?)
Fito, 15 May 2008 @16:01:48 dice:
#11
como dice el compare alf, el sistema publico esta repleto de pitutos, mucha gente no tiene idea donde esta parado y estan por ser amigos del jefe o conocidos del jefe de la area de al lado.
uno va a presentar propuestas serias, desarrollado con la ultima tecnologia, pero no, queda otra propuesta por que en la letra chica tenia algo explicito pa que se la ganara una empresa de alguien conocido, tan la mayoria de las propuestas quemadas ya, todas definidas, que verguenza de sistema.
luchozki, 21 May 2008 @13:48:57 dice:
#12
Me di la paja de leer todos los comentarios, algunos muy adecuados, otros, mmmm. Lo que si me llama la atención es la cantidad de motes que muestran algunos, al parecer están escribiendo en un ciber y están preocupados de no pasarse en el tiempo de arriendo de la PC, o en su lugar de trabajo y temen que los pille el jefecito escribiendo webadas en lugar de trabajar.
Alguien proclama que lleva años diseñando sistemas, pero por su forma de escribir me da mala espina la calidad de su trabajo, pues para mi la ortografía es un indicador relevante para saber si esa persona ha leído mucho o no, la lectura te da una habilidad increíble, a veces pasas la vista por la pantalla, o la hoja de un diario o una revista, y de una sola mirada te salta el *mote*, y mientras más lees, más sabes, eres más creíble ........
Concuerdo plenamente con la opinión de varios, referente a que el Estado, esta lleno de apitutados, y en cargos que deberían estar en manos de gente profesional y que sepa lo que debe hacerse en asuntos de seguridad informática, pero mientras estemos en un sistema que tiende a hacer el estado mas grande, para que trabaje el primo, el amigo del primo, el amigo del amigo del primo, y que no se acabe nunca la teta, ¡estamos cagados!.
Mr_Trukit0, 14 Ago 2008 @18:48:22 dice:
#13
Off-Topic:
Acabo de implementar un sistema de captcha, para evitar la oleada de SPAM que ha estado afectando al Blog.
Desde ahora en adelante, cada vez que deseen postear comentarios en un artículo, deberán responder una pregunta simple para verificar la autenticidad de la solicitud.
