Insensato reporte de vulnerabilidad

La Cancillería colombiana enfrentó un grave problema

Blog Insensato reporte de vulnerabilidad

| 5 min read

Contact us

Suponga que usted se dispone a revisar y a descargar su visa a través de la página web de la agencia federal correspondiente en un país en el que usted es extranjero. En medio de su curiosidad, para su sorpresa, usted se da cuenta de que puede hacer algo que se supone uno no podría hacer en esa web. Resulta que usted puede ver y descargar las visas de muchas otras personas con solo hacer un pequeño cambio al final de la URL. ¿Qué cree que debería hacer en esta situación? ¿A quién debería informarle esto, asumiendo, por supuesto, que usted no tiene intención de ser un ciberdelincuente?

Pues bien, a dicho escenario se enfrentó recientemente un individuo extranjero que se disponía a comprobar su visa (i.e., su documento de identificación como extranjero) en la plataforma de visas electrónicas de Colombia. Según informa el portal de noticias colombiano La Silla Vacía (LSV) en Twitter, fue el pasado 13 de enero de 2021 cuando este ciudadano con una nueva oportunidad de trabajar en este país sudamericano descubrió el problema de la plataforma. En concreto, este hombre podía acceder a un enlace a través de un código QR adjunto a su visa digital. Y, a partir de ahí, cambiando los números finales de ese enlace, podía ver y obtener no solo su visa sino las de otras personas en PDF sin restricción alguna.

Tal vez este ciudadano no tenía la menor idea de la magnitud del inconveniente. Se calcula que 550.000 personas tenían sus datos en ese sistema de información vulnerable en ese momento. Por tanto, de cualquiera de ellas, este individuo podía obtener datos como los siguientes: fotografía, nombre completo, fecha de nacimiento, nacionalidad, número de pasaporte y puesto de trabajo. Por cierto, ¿sería él el primero en darse cuenta de esta falla? ¿Hacía cuánto tiempo existía esta vulnerabilidad? ¿Días, meses? Hasta ahora, al parecer, no se han dado respuestas a estas preguntas.

En todo caso, siguiendo lo comunicado en Twitter por LSV, el individuo en cuestión decidió escribir correos electrónicos a su embajada, de la que no obtuvo ninguna solución, y luego al Ministerio de Asuntos Exteriores, para no recibir respuesta alguna. ¿Cómo carajos es eso posible? Está bien, olvido de momento que una lentitud en los trámites es fácil de encontrar en la burocracia de casi cualquier lugar. Posteriormente, el individuo al parecer inició comunicación con LSV, y ellos pudieron comprobar la debilidad de seguridad en la plataforma de visas electrónicas.

Ese día, el 15 de enero, estos periodistas, además de hacerlo en las redes sociales, publicaron en su web 'TODO' lo que se sabía hasta el momento sobre el asunto. ¿Qué lograron con su imprudencia? Adelantaron la Navidad para muchos hackers malintencionados, principalmente en América Latina. LSV reveló una vulnerabilidad de ciberseguridad para la que no había ninguna solución implementada en ese entonces. A pesar de censurar las URLs y la información de las personas, entregaron un gif mostrando el error de la plataforma. ¿No eran conscientes del daño que podían estar haciendo? ¿O solo pensaban apresuradamente en sus beneficios como medio de comunicación? De nuevo, preguntas sin respuesta.

No obstante, LSV comunicó por chat el embrollo a las autoridades competentes de la Cancillería. Ellas respondieron que pronto remediarían la vulnerabilidad y, horas más tarde, publicaron un escueto boletín oficial sobre el tema (véase la Figura 1). Sin embargo, parece que no sugirieron a LSV que eliminara sus publicaciones que no estaban lejos de parecer incentivos para la ciberdelincuencia. Los datos que por ley se supone que están protegidos estaban a merced de muchas personas astutas con oscuras intenciones de cometer fraudes como el robo de identidad y la extorsión. Al día siguiente (no sé cuánto tiempo inhabilitaron el servicio de la plataforma), la Dirección de Tecnología cerró la brecha, y la Cancillería distribuyó un nuevo boletín, de una sola frase.

¿Cuántos atacantes podrían haber aprovechado esta vulnerabilidad? ¿Qué imagen de la seguridad nacional de Colombia ofrece este suceso a los extranjeros? ¿Existen problemas similares en los sistemas de este gobierno (utilizando la misma tecnología) que no han sido resueltos? Preguntas atractivas, pero, en este punto, me gustaría mantenerme enfocado en el asunto del reporte de la vulnerabilidad.

Get started with Fluid Attacks' Vulnerability Management solution right now

Como dijo Oakley para GlobeLiveMedia, algunas otras personas también rechazaron la publicación de LSV. Repito: ¡podían haber estado llamando a la ciberdelincuencia! Su comportamiento no fue apropiado ni juicioso en cuanto a la revelación de una vulnerabilidad de un sistema informático. Sin embargo, antes de eso, el individuo involucrado no debió haber ido más allá de la comunicación fallida con un par de autoridades a compartir sus hallazgos con un grupo periodístico. Tal como sugiere Rafael Álvarez, CTO de Fluid Attacks, este hombre debió haber intentado en repetidas ocasiones establecer una conversación con la Cancillería. Al no encontrar respuesta o ser ignorado, su siguiente paso debió haber sido contactar con un intermediario, como la policía.

O, en su posible ignorancia sobre qué hacer, ¿por qué no recurrir a Google? Este individuo podría haber encontrado fácilmente el sitio web colCERT, donde la gente en Colombia puede reportar el cibercrimen y los incidentes relacionados. (Aunque, por ejemplo, Carolina Botero, directora de la Fundación Karisma, descalifica este sitio para el adecuado reporte de vulnerabilidades). No obstante, ya en manos de los medios de comunicación, que buscan continuamente generar tráfico, difícilmente podríamos esperar un manejo responsable de este tipo de datos. "Desgraciadamente —como dijo Rafael—, la búsqueda de la fama por parte de los periódicos o de los pseudo-hackers siempre hace prisionero al bien común, que en realidad es lo que más importa aquí". LSV debería haber transmitido el suceso a las autoridades y luego esperar el tiempo suficiente para que se resolviera el problema antes de publicar la noticia. Los afectados debían ser informados en detalle más tarde, pero principalmente por la organización responsable del almacenamiento de sus datos.

Leyendo el estándar ISO/IEC 29147:2018, relativo a la "divulgación de vulnerabilidades", encontramos lo siguiente: "El objetivo de la divulgación de vulnerabilidades es reducir el riesgo asociado a la explotación de las mismas". ¡Reducir el riesgo! Al final, en este caso, ninguna de las partes implicadas lo consiguió. Es real que el Ministerio cometió un error con su infraestructura informática que mantuvo expuestos los datos de miles de extranjeros. Pero, por su parte, los periodistas hicieron pública la situación, transmitiendo un mensaje implícito: esta gente está en graves problemas, pero no importa que se jodan aún más; el derecho a la información (y nuestro reconocimiento) debe estar por encima de otros principios.

Por último, como dijo Rafael, las oportunidades de mejoría para organizaciones como la Cancillería surgen en casos como este en los que hubo fallos de seguridad técnicos o metodológicos. También es cierto que las empresas responsables de su seguridad deberían prestar más atención a la gestión de los informes y a la implementación de estándares (véase "Seguridad informática" de ISO). En general, podríamos superar el desconocimiento sobre el reporte de vulnerabilidades con, por ejemplo, lo que recomendaba Botero: el establecimiento de un canal de divulgación coordinado por el Estado y de fácil acceso para la transmisión segura y transparente de la información.

Si usted llega a encontrarse en una situación similar a la del mencionado ciudadano extranjero, no olvide lo siguiente: (1) Acceder a datos sensibles de terceros es un delito. (2) Existen intermediarios como la policía que pueden ayudar. (3) Las redes sociales no son el lugar adecuado para reportar una vulnerabilidad. Por otro lado, todos deberíamos esforzarnos por ser más conscientes del daño que nuestras acciones pueden causar a los demás. Ese sería un buen comienzo para responder a algunos signos de principios morales descuidados.

Share

Subscribe to our blog

Sign up for Fluid Attacks' weekly newsletter.

Recommended blog posts

You might be interested in the following related posts.

Photo by FlyD on Unsplash

Software supply chain management in financial services

Photo by Robs on Unsplash

Consequential data breaches in the finance sector

Photo by Towfiqu barbhuiya on Unsplash

Data protection in the financial sector, tips and more

Photo by Jasmin Egger on Unsplash

If the essential security layer is flawed, you're toast

Photo by Christian Wiediger on Unsplash

The need to enhance security within the fintech sector

Photo by Claudio Schwarz on Unsplash

Is your financial service as secure as you think?

Photo by mitchell kavan on Unsplash

Bringing the zero trust model to life

Start your 21-day free trial

Discover the benefits of our Continuous Hacking solution, which hundreds of organizations are already enjoying.

Start your 21-day free trial
Fluid Logo Footer

Hacking software for over 20 years

Fluid Attacks tests applications and other systems, covering all software development stages. Our team assists clients in quickly identifying and managing vulnerabilities to reduce the risk of incidents and deploy secure technology.

Copyright © 0 Fluid Attacks. We hack your software. All rights reserved.