Área dentro del sitio web del DTOP de Puerto Rico para realizar búsquedas
Área dentro del sitio web del DTOP de Puerto Rico para realizar búsquedas

Si en algún momento has utilizado el sitio de internet del Departamento de Transportación y Obras Públicas (DTOP) del gobierno de Puerto Rico para solicitar un reporte del estatus de un vehículo de motor, presta atención, porque la información que brindaste pudo haber estado en riesgo de ser interceptada por ladrones cibernéticos, lo que podría dar paso a posibles robos de identidad.

Una fuente anónima informó en exclusiva a Tecnetico.com  el descubrimiento de una función de búsqueda dentro del sitio en la red de dicho departamento que pide como término de búsqueda el número de seguro social del contribuyente sin implementar medida de protección alguna, poniendo al poseedor de dicho número en grave riesgo de sufrir lo que se conoce como robo de identidad. Este es transmitido de forma tan insegura que, según expertos, podría ser equivalente a pararse en medio de una vía de mucho tránsito y sostener con ambas manos un cartel con dicha información, prácticamente exponiéndola a todo el que transite por dicha vía.

El funcionamiento inseguro de la función, tal y como fue descrita por la fuente, pudo ser corroborado por Tecnetico.com y varios expertos de seguridad consultados, y es parte de un motor de búsquedas integrado en lo que se conoce como “David”, nombre que se le ha asignado al sistema de computadoras que sirve de apoyo a las funciones de una división del DTOP llamada DISCO (Directoría de Servicios al Conductor) y que ha estado en operación desde abril de 1999.

Este ofrece realizar vía web varios tipos de búsquedas para obtener información, incluyendo boletos expedidos tanto a una licencia de conducir como a una tablilla o matrícula de un vehículo y vehículos pertenecientes a una persona o negocio, entre otros.

Es precisamente al realizar esta última búsqueda que DAVID solicita como una de las opciones se ingrese el número de seguro social. Una vez ingresado y haber enviado la información mediante un click del mouse en el botón de “submit” o “someta”, esta es transmitida sin ningún tipo de salvaguarda apropiado para la transmisión de datos sensitivos vía internet.

Normalmente, sitios que manejan información sensitiva tales como bancos e institiuciones financiera, implementan lo que se conoce como “encryption” o codificación. El mismo sirve como una especie de coraza o vehículo blindado que habrá de transportar la información de un punto a otro a través de internet sin que personas ajenas a la comunicación puedan conocer ni manipular su contenido.

ANUNCIO

La codificación de la información le es notificada al usuario por medio de un dibujo de un candado en uno de los extremos del área donde el navegador internet indica la dirección del sitio que se está visitando. En algunos casos, este dibujo de un candado pudiese aparecer en la parte inferior de la ventana del navegador de internet.

Además del dibujo del candado, el usuario también puede comprobar de que la comunicación se está realizando de forma segura al ver que la dirección de internet que se está visitando comienza con el prefijo “https://” en vez de “http://” (la “s” al final de “http” quiere decir “secure”).

En el caso del área en cuestión dentro del sitio de internet del DTOP, en ningún momento se muestran las señales de una conexión segura que describimos anteriormente, por lo que toda la información provista por medio de dicho web es enviada de forma completamente abierta y lista para ser interceptada y/o modificada.

“ESTA DATA ES FÁCIL DE INTERCEPTAR”

De acuerdo al experto en seguridad cibernética Frankie Ramos, el manejar este tipo de información de la forma como lo hace este sitio de internet presenta un serio problema ya que, el no usar “encryption” o codificación, la información que se ingresa y envía puede muy fácilmente ser interceptada y utilizada para propósitos que podrían incluir el robo de identidad.

En Estados Unidos el número de seguro social es información clave para transacciones de crédito con bancos y compañías de financiamiento, así como también en expedientes médicos.

Lamentablemente, el gobierno de Puerto Rico no tiene un estándar para las aplicaciones que utilizan los ciudadanos, y en este caso se (vé) claramente que no protegen la información.

Frankie Ramos, experto en seguridad

Por otro lado, en entrevista vía Twitter, Miguel Cruz (@tokynet), también experto en seguridad, coincidió con Ramos en que la forma como la información es manejada en este sitio de internet del DTOP no ofrece garantía ninguna de que será manejada correctamente.

“La página no cuenta con SSL, así que cuando entras tu seguro social y le das “submit”, la informacion NO es encriptada. Esta data es fácil de interceptar con ataques de “Man in the middle” ya que no hay ningun tipo de autentificación (sic) de la página”, indicó el experto.

Ramos opina que el gobierno debe tomar acción estandarizando la forma en que las aplicaciones o sitios web manejan la seguridad de la información que les es suministrada. “Las compañias tienen marcos de regulaciones y responsabilidades de proteger la informacion confidencial de sus clientes”, dijo Ramos. “Lamentablemente, el gobierno de Puerto Rico no tiene un estándar para las aplicaciones que utilizan los ciudadanos, y en este caso se (vé) claramente que no protegen la información”, finalizó diciendo.

MUTIS DEL DTOP Y DEL PEI

Antes de la publicación de esta nota, intentamos comunicarnos con la oficina de prensa del DTOP para alertarlos sobre este asunto y obtener una reacción al respecto de Rubén Hernández Gregorat, secretario del departamento, pero nuestras llamadas a los números de teléfono indicados en la página de contacto de su sitio web no fueron contestados.

También se hicieron gestiones de obtener un comentario por parte del recién nombrado principal ejecutivo de información (PEI) de Puerto Rico, Juan Eugenio Rodríguez de Hostos. Sin embargo, estas también resultaron infructuosas.

9 comentarios

  1. Ivette Calderon
    06/08/2010 | 7:30 am a las 7:30 am — Reply

    Esto es falta de un experto. Cosa que parece no tienen..llamen a tecnetico.

  2. gabriel anes
    02/18/2010 | 2:08 am a las 2:08 am — Reply

    wilton envie tu escrito a un email de la fortaleza para ver si a alguien le interesa esa imformacion y hacen algo para evitar el robo de identidad

  3. tech
    01/06/2010 | 4:17 pm a las 4:17 pm — Reply

    Esto es una falta de respeto a los ciudadanos de P.R. tras que el gobierno no sirve de por si tambien usan un sistema obsoleto y dejan los datos de identidad a merced de cualquier sinverguenza para que se los venda al primer refugiado indocumentado que aparezca y a la hora de la verdad nosostros el pueblo no valemos nada .

  4. 01/05/2010 | 2:49 pm a las 2:49 pm — Reply

    El robo de identidad ya es algo como sacarse la loteria. Por mas que se quieran cuidar todos estan expuestos de una forma u otra. Actualmente bancos, gobiernos, aseguradoras, etc tienen nuestra informacion personal sumamente sensitiva y esta puede ser vista por muchas personas. Solo basta por que una de estas personas quiera hacer el daño y de la nada el Sr. Perez que se cuido mas que nadie en este pais para mantener su identidad segura termina con la misma comprometida.

    Todos estamos en el mismo riesgo de caer victimas de esta amenaza y NO podemos hacer nada.

  5. Edgar Diaz
    01/01/2010 | 3:28 am a las 3:28 am — Reply

    No solo eso Wilton, tambien para un duplicado me pidieron copia de mi tarjeta de SS, si no no habia licencia, de verdad se que es un riesgo, pero en ese momento no me quedo otra opcion, espero los usuarios de Tecnetico tengtan en cuenta el riesgo que esto implica, si le es posible al pagar con tarjeta de credito usen una virtual, si estas siempre online sabras lo que quiero decir.

    –rammolo

  6. 12/31/2009 | 8:33 pm a las 8:33 pm — Reply

    ALX:

    estoy trabajando lo más rápido posible para restablecer el foro.

    Gracias por tu paciencia.

  7. ALX
    12/31/2009 | 8:18 pm a las 8:18 pm — Reply

    Eso es para que vean lo ineptos que manejan los sistemas de informacion de la isla. Contratan a cualquier pelagato pa que realice una pagina web y lo la verifican que cumplan con los estandares mas basicos. Que se ponga pa su numero wilton, si no va a poner el foro que borre el anuncio de “pronto”.

Comenta y exprésate

Your email address will not be published. Required fields are marked *

Publicación o post anterior

CES2010: un "pequeño" adelanto de lo que habrá de anunciarse

Próxima entrada o post

Cuidado sitios de clasificados en internet: ahora Facebook compite con ustedes