Ciberseguridad gubernamental
“En estos dos años de publicar datos de la pandemia en mi tiempo libre he encontrado más de 14 problemas de ciberseguridad graves que he reportado –esto es, sin intentarlo–. Necesitamos una entidad que haga auditorías de ciberseguridad”.
“No puedo creer esto”, le dije por WhatsApp durante una conversación al comienzo de la pandemia. El Minsa tenía datos personales de todas las personas con COVID-19 publicadas en un fólder público: nombre, dirección, DNI, resultados de las pruebas PCR, nombre de los familiares, celulares, etc. Lo que me estaba enseñando mi amigo no había sido el resultado de un hackeo elaborado para acceder a esta información, si no que simplemente había hecho un par de clicks en la página web de una división de epidemiología del Minsa. Adicionalmente, el website no era parte de la infraestructura oficial del Gobierno peruano (gob.pe), sino que la información de salud estaba en un servicio externo (una compañía que cobra $14USD / mes para publicar páginas simples). En otros países es absolutamente ilegal mantener datos médicos en websites de este tipo. En Perú, casi dos años después de haber reportado este problema, el mismo servicio sigue en uso (aunque cabe recalcar que los datos personales han sido aparentemente removidos).
Sorprendentemente, ese no fue el peor problema de seguridad. Si tendría que elegir lo peor que he visto, creo que es el uso constante de servidores “ftp” (tecnología creada en 1971 que no usa encriptación) para intercambiar información entre distintas oficinas regionales de salud. Cualquier persona, sin clave alguna, puede hoy día ingresar y encontrar datos personales, información desorganizada de contratos del Minsa, usuarios/claves/direcciones de servidores, etc. Lo más irresponsable es que a pesar de conocer este problema, no se han tomado ni las más mínimas medidas para evitar que Google ponga toda esa información en su índice público. Evitar esto se hace creando un archivo de texto con una sola línea que le dice a Google “por favor, no pongas esto en tu índice”
En estos dos años de publicar datos de la pandemia en mi tiempo libre he encontrado más de 14 problemas de ciberseguridad graves que he reportado –esto es, sin intentarlo–. Necesitamos una entidad que haga auditorías de ciberseguridad a los sistemas digitales gubernamentales.
Prefiero a La República en Google
