Hace algunas horas la justicia ecuatoriana dejó en libertad al blogger Paul Moreno (@paulcoyote) quien fue acusado hace algunos días de «Acceso fraudulento a sistemas informáticos y bases de datos» según comentaba en su cuenta de Twitter el 30 de noviembre.
El mismo presidente de Ecuador, Rafael Correa, pidió su puesta en libertad luego de enterarse de la situación [video].
¿Qué ha sucedido?
El pasado 26 de noviembre Paul publicó en ecualug.org un artículo sobre datoseguro.gob.ec, un portal del gobierno donde los ciudadanos pueden acceder de forma fácil y segura a su datos registrados en distintas instituciones. Esto incluye información muy sensible como antecedentes penales, propiedades, viajes al exterior y todo dato de carácter público que el estado pueda tener sobre una persona.
Quienes quieran acceder a sus datos sólo deben registrarse en el sitio verificando su identidad. Y esto es justamente lo que estaba fallando en el portal, dando lugar a que cualquiera pueda suplantar la identidad de otra persona para acceder a su información.
Para demostrar que el registro de usuarios no era seguro -y por ende los datos que el portal recopilaba- Paul se registró como si fuera el presidente Rafael Correa. Sólo necesitó su fecha de nacimiento, el número de cédula (información que obtuvo fácilmente en internet) y el índice dactilar, un código de 10 caracteres que aparece junto a la huella digital de la cédula pero que según comentó Paul fue muy fácil de adivinar.
En cuestión de minutos había verificado la identidad del presidente y tenía acceso a todos sus datos.
Como vemos no se trató de un ataque sofisticado contra la web, sino de algo que cualquiera podría haber hecho y más en estos tiempos donde la cantidad de información personal que se publica en las redes sociales es alarmante. Algunos publican hasta sus tarjetas de crédito y avisan que van a retirar dinero de un cajero automático.
La forma en que la vulnerabilidad del portal fue expuesta tal vez no fue la mejor, de hecho fue un delito porque se suplantó la identidad de una persona y más allá de que las intenciones fueran buenas de eso fue acusado. De todas formas es algo discutible, el problema se conocía desde hace meses y las autoridades estaban informadas.
Veremos como continúa la historia, por su parte el organismo público ha emitido un boletín aclarando algunos puntos, aunque del sistema de verificación no mencionan nada. Lo bueno es que ahora lo han mejorado según indicó su director de seguridad informática en una entrevista que le realizaron.
Actualización: un resumen muy bueno con muchos más detalles sobre todo lo sucedido en los últimos días lo pueden encontrar en este post de @kevinhurlt (gracias @ivan_herazo)
Estoy libre. Muchas gracias a todos #LiberenaPaulcoyote twitter.com/paulcoyote/sta…
— PaulCoyote (@paulcoyote) diciembre 3, 2012