Los comentarios sobre la seguridad del censo digital o eCenso que el gobierno realiza por estos días han generado bastante polémica. Los más populares vinieron de la ingeniera Juliana Peña, quien en su blog escribió sobre la recuperación de las contraseñas y cómo estas se encontraban en texto plano.
Esto puso sobre la mesa la importancia de la seguridad de la información y el manejo de datos personales en una era en la que existe una inseguridad latente de la información y cualquier dispositivo conectado a Internet puede ser vulnerable.
A partir de esto, desde TODO EN UNO.NET S.A.S. nos dimos a la tarea de revisar otros temas de seguridad de la información del eCenso. Para ello, encontramos otros detalles importantes que se deberían tener en cuenta.
Al analizar a fondo, se verifica el código JavaScript que hace parte del formulario. La característica principal de este lenguaje de programación es que se ejecuta del lado del cliente y no del lado del servidor, por lo cual se puede revisar en el navigador al presionar la tecla F12 (Internet Explorer, Chrome, Mozzila, entre otros). Para este caso, lo verificamos en Chrome.
Lo que más llama la atención es que se está usando un algoritmo Hash como MD5, el cual es bastante vulnerable. El origen de la determinación del algoritmo de cifrado MD5 como vulnerable u ‘oficialmente roto’ data de 2004, cuando Xiaoyun Wang y su equipo anunciaron el descubrimiento de colisiones de Hash para MD5.
Lo complejo de esto es que cualquier persona puede realizar cracking de contraseñas MD5 en la siguiente página, Dicho de otro modo, por recomendación se debería utilizar otros algoritmos de cifrado como es el caso de SHA2.
Así mismo, es recomendable que no solamente se cifren los datos en la Web, sino que también se haga cuando la información es descargada, analizada y gestionada por funcionarios públicos o terceros.
¿Y los términos y condiciones del eCenso?
Lo que los ciudadanos también deberían tener en cuenta son los términos y condiciones de eCenso, los cuales son resumidos pero dejan claro que es información reservada en el manejo de datos. El eCenso en sus términos señala lo siguiente:
“Para su tranquilidad y por su seguridad, los datos suministrados al DANE, en desarrollo de los censos y/o encuestas, de conformidad con lo establecido en el parágrafo segundo del artículo 5° de la Ley 79 de 1993, tienen carácter de reservados y no podrán ser utilizados con fines comerciales, de tributación fiscal o de investigación judicial; sólo podrán darse a conocer al público en resúmenes numéricos que no hagan posible deducir de ellos información alguna de carácter individual”.
En nuestra labor de consultores en seguridad de la información es bueno recomendar al Dane que deberían también mencionar en sus términos y condiciones que cuentan con políticas de protección de datos y políticas de seguridad de la información. El Dane cuenta con ellas, pero no son mencionadas en los términos del censo y estas deberían estar en dicha web.
Estos procedimientos dejan claro que el Dane reconoce que la información y en especial los datos utilizados para producir estadísticas son los activos más importantes de la entidad.
Seguridad de información en todo el ciclo
Es importante resaltar que la seguridad de la información es un ciclo constante, por lo tanto no es solo se trata de proteger la página en la que se recolectan los datos. También es la forma como se gestionan, almacenan y se analizan los datos. Es por eso que decir en la actualidad que una página es 100% segura no es real, ya que todos los días salen vulnerabilidades y pueden verse distintas posiciones sobre la seguridad.
La mayor conciencia que debe tener una entidad pública es entender que los mismos ciudadanos deben tener claridad sobre la seguridad de los datos y que opiniones como la de la ingeniera Juliana Peña o la de cualquier persona deben ser bien recibidas, ya que sirven para mejorar la seguridad de mecanismos como el eCenso.