Reflexiones sobre la seguridad de las contraseñas usadas en el eCenso del DANE

Desde el pasado 9 de enero de 2018 se dio inicio de la puesta en marcha del censo electrónico, como primera etapa del gran censo nacional que adelanta el DANE. Desafortunadamente y como puede pasar en procesos complejos como el abordado por esta iniciativa, no han faltado las expresiones de usuarios con inconvenientes. Inicialmente se evidenció insatisfacción por parte de ciudadanos en aspectos como la estabilidad de la plataforma (funcionamiento intermitente en algunos casos) y tiempos de respuesta (muy largos en momentos determinados), entre otros.

Sin embargo, la inquietud más importante y de mayor impacto mediático respecto de la plataforma que soporta este censo electrónico, se originó en el artículo de la Ingeniera Juliana Peña, quien trabaja en Microsoft, y en cuyo blog personal (http://julip.co/2018/01/contrasena-censo/) expresó inicialmente (12 de enero de 2018) que las contraseñas se guardaban como “texto en claro”, es decir, se almacenaban con los mismos caracteres que fueron asignados. Posteriormente, la misma ingeniera actualizó un día después su publicación en el blog (http://julip.co/2018/01/actualizacion-contrasenas-censo/), precisando que las contraseñas no se guardaban como “texto en claro”, pero que seguía “siendo muy feo el asunto”, por cuanto el mecanismo de almacenamiento presuntamente usaría un encriptación (mecanismo que utiliza un algoritmo para convertir datos en textos que se dificulte interpretar por alguien, mediante el uso de contraseñas) simétrica, que ofrecía un bajo nivel de seguridad y de hecho, reporta que el método tiene múltiples advertencias por parte de miembros de la comunidad técnica de la que se habría utilizado el código fuente empleado en el desarrollo de la plataforma dispuesta por el DANE.

En cualquier caso lo expuesto, desde la perspectiva técnica, en lo referido a almacenar en una base de datos información como contraseñas (como texto en claro o con un sistema de encriptación débil), plantea por parte de la Ingeniera Peña, un riesgo que permitiría a un “cracker” (como se debe referir a aquellos que tienen la capacidad e interés de romper o vulnerar sistemas de seguridad, siendo más preciso este término que el genéricamente usado “hacker”) acceder y usar las contraseñas allí almacenadas, lo cual tendría un grave efecto para aquellas personas que -en contravía de las recomendaciones y buenas prácticas en Seguridad Digital- emplean la misma contraseña para diferentes servicios en línea.

Así pues, lo que empezó en estas entradas de blog, se difundió por redes sociales y se catapultó por entrevistas ofrecida por la Ingeniera Peña, teniendo eco en importantes medios de comunicación y rápidamente generó una “reacción en cadena” con un importante efecto sobre la confianza de los ciudadanos en esta iniciativa.

Bajo esta dinámica de reacción, Microsoft Colombia emitió un comunicado oficial el 16 de enero de 2018, en el que señaló que las declaraciones de la Ingeniera Peña “…no reflejan los criterios ni la posición de la Corporación de la subsidiaria en Colombia”, además de puntualizar que no tiene ninguna relación con proyecto alguno en Colombia. El DANE por su parte, efectuó una rueda de prensa y emitió un comunicado (http://www.dane.gov.co/index.php/actualidad-dane/4455-el-dane-responde-a-afirmaciones-falsas-sobre-la-seguridad-del-ecenso) el pasado miércoles (17 de enero de 2018) en el que reaccionó de forma enérgica a las afirmaciones efectuadas por la Ingeniera Peña.

Todo lo anterior, sumado a mi experiencia profesional y particularmente las responsabilidades que asumí en mi último cargo como funcionario público (desde el que precisamente impulsé aspectos relacionados con el fortalecimiento de la Seguridad Digital en el país), me motivó a hacer las siguientes reflexiones sobre los hechos expuestos:

¿Es realmente segura la plataforma del censo electrónico?

La única forma de responder responsablemente a esta inquietud sería con los insumos propios de una auditoría o al menos un peritaje técnico a los componentes de la plataforma que soportan los servicios del censo electrónico.

No obstante lo anterior, es importante señalar que las falencias identificadas no se obtuvieron de la plataforma que soporta el servicio en línea, sino sobre su versión (offline), es decir, una versión que se dispone para que el usuario pueda descargar y diligenciar la encuesta sin necesidad de estar conectado a Internet durante todo el proceso y, aunque desde la perspectiva lógica y técnica, no hace mucho sentido que las implementaciones realizadas para la versión en línea y de descarga tengan sendas diferencias, no podría tampoco aseverarse -sin riesgo de equivocación- que las vulnerabilidades encontradas en la versión de descarga tengan igual despliegue en la versión en línea.

De otra parte, de las explicaciones ofrecidas por la entidad puede entenderse que el soporte tecnológico y el frente de seguridad digital, son aspectos en los que la entidad se ha esforzado. En este punto quiero ir más allá de las previsiones en materia de soluciones de hardware y software (tales como los sistemas de seguridad enunciados en el comunicado), dado que, el haber dispuesto de un puesto de mando unificado para realizar un monitoreo permanente a la infraestructura informática que soporta el eCenso y gestionar incidentes sobre la misma, no solo no es un esfuerzo menor, sino que está asociado a operaciones o situaciones de alta complejidad.

¿De quién es la responsabilidad sobre la seguridad de mis datos?

En temas de seguridad digital no existe la posibilidad de garantizar plenamente que la información no sea vulnerada y, por lo tanto, lo que corresponde en todos los casos, es que las entidades y empresas efectúen los esfuerzos y realicen las inversiones que resulten razonables para gestionar adecuadamente los riesgos de seguridad digital. En el mismo sentido y teniendo en cuenta que la gestión de riesgos de seguridad digital es realmente responsabilidad de todos, como usuarios también debemos actuar con total consciencia sobre la exposición que tenemos a estos riesgos y consecuentemente, adoptar de nuestra parte las medidas que resulten adecuadas para mitigar efectos negativos frente a la ocurrencia de incidentes que puedan afectar nuestros datos o facilitar delitos en el entorno digital como, por ejemplo, la suplantación de identidad.

En el caso que nos ocupa, entregar a cualquier servicio en línea una contraseña que empleamos en otros servicios es claramente una práctica que no debemos seguir.

¿Fue positivo o negativo que se hubiera difundido lo manifestado por la Ingeniera Peña?

Considero que de estas situaciones siempre se pueden obtener lecciones y oportunidades.

Respecto de la forma en que se dio a conocer la inquietud y el alcance de algunas de las afirmaciones, me queda la sensación de que pudo haberse manejado diferente. Por ejemplo, que la entidad u otros actores competentes (ejemplo: el Grupo de Respuesta a Emergencias Cibernéticas de Colombia - colCERT) hubieren sido contactados para haber valorado los aspectos que se habían encontrado antes de exponerse así al público y sin ánimo alguno de “tapar” la situación, gestionar las vulnerabilidades a efecto de corregirlas y de esta manera no generar una situación casi de “pánico” frente a la plataforma. Es de anotar, que en la entrevista que concedió la Ingeniera Peña a W Radio, ella indicó que intentó contactar la entidad el día que generó el blog inicial, pero no sabemos cómo ni cuánto lo intentó, ni si se comunicó primero o si primero fue la publicación.

Ahora bien, respecto de la respuesta ofrecida por la entidad, fue negativo no contar con la claridad frente a si las características y procedimientos técnicos de seguridad para guardar las contraseñas en la versión de descarga (offline), son los mismos usados para la versión “en línea”, en cuyo caso, tendría la entidad que soportar de mejor manera, cómo las medidas y soluciones adoptadas en la plataforma mitigan un riesgo real sobre el manejo de contraseñas.

Finalmente, respecto de la relevancia de la adopción de medidas para mejorar la seguridad en plataformas digitales, considero positivo que el tema haya tenido un efecto mediático que lleve tanto a las empresas como a los usuarios a mejorar su conciencia sobre la necesidad de adoptar mejores prácticas en seguridad digital. Lo negativo fue el costo en detrimento de la confianza de los ciudadanos sobre el censo, que ya venía afectada por el sin número de noticias falsas (fake news) que están circulando por redes sociales.