SEGURIDAD/PRIVACIDAD

Expuestos usuarios de sitio de internet del gobierno de Puerto Rico a robo de identidad

írea dentro del sitio web del DTOP de Puerto Rico para realizar búsquedas
írea dentro del sitio web del DTOP de Puerto Rico para realizar búsquedas

Si en algún momento has utilizado el sitio de internet del Departamento de Transportación y Obras Públicas (DTOP) del gobierno de Puerto Rico para solicitar un reporte del estatus de un vehí­culo de motor, presta atención, porque la información que brindaste pudo haber estado en riesgo de ser interceptada por ladrones cibernéticos, lo que podrí­a dar paso a posibles robos de identidad.

Una fuente anónima informó en exclusiva a Tecnetico.com  el descubrimiento de una función de búsqueda dentro del sitio en la red de dicho departamento que pide como término de búsqueda el número de seguro social del contribuyente sin implementar medida de protección alguna, poniendo al poseedor de dicho número en grave riesgo de sufrir lo que se conoce como robo de identidad. Este es transmitido de forma tan insegura que, según expertos, podrí­a ser equivalente a pararse en medio de una ví­a de mucho tránsito y sostener con ambas manos un cartel con dicha información, prácticamente exponiéndola a todo el que transite por dicha ví­a.

El funcionamiento inseguro de la función, tal y como fue descrita por la fuente, pudo ser corroborado por Tecnetico.com y varios expertos de seguridad consultados, y es parte de un motor de búsquedas integrado en lo que se conoce como “David”, nombre que se le ha asignado al sistema de computadoras que sirve de apoyo a las funciones de una división del DTOP llamada DISCO (Directorí­a de Servicios al Conductor) y que ha estado en operación desde abril de 1999.

ANUNCIO

Este ofrece realizar ví­a web varios tipos de búsquedas para obtener información, incluyendo boletos expedidos tanto a una licencia de conducir como a una tablilla o matrí­cula de un vehí­culo y vehí­culos pertenecientes a una persona o negocio, entre otros.

Es precisamente al realizar esta última búsqueda que DAVID solicita como una de las opciones se ingrese el número de seguro social. Una vez ingresado y haber enviado la información mediante un click del mouse en el botón de “submit” o “someta”, esta es transmitida sin ningún tipo de salvaguarda apropiado para la transmisión de datos sensitivos ví­a internet.

Normalmente, sitios que manejan información sensitiva tales como bancos e institiuciones financiera, implementan lo que se conoce como “encryption” o codificación. El mismo sirve como una especie de coraza o vehí­culo blindado que habrá de transportar la información de un punto a otro a través de internet sin que personas ajenas a la comunicación puedan conocer ni manipular su contenido.

ANUNCIO

La codificación de la información le es notificada al usuario por medio de un dibujo de un candado en uno de los extremos del área donde el navegador internet indica la dirección del sitio que se está visitando. En algunos casos, este dibujo de un candado pudiese aparecer en la parte inferior de la ventana del navegador de internet.

Además del dibujo del candado, el usuario también puede comprobar de que la comunicación se está realizando de forma segura al ver que la dirección de internet que se está visitando comienza con el prefijo “https://” en vez de “http://” (la “s” al final de “http” quiere decir “secure”).

En el caso del área en cuestión dentro del sitio de internet del DTOP, en ningún momento se muestran las señales de una conexión segura que describimos anteriormente, por lo que toda la información provista por medio de dicho web es enviada de forma completamente abierta y lista para ser interceptada y/o modificada.

“ESTA DATA ES FíCIL DE INTERCEPTAR”

De acuerdo al experto en seguridad cibernética Frankie Ramos, el manejar este tipo de información de la forma como lo hace este sitio de internet presenta un serio problema ya que, el no usar “encryption” o codificación, la información que se ingresa y enví­a puede muy fácilmente ser interceptada y utilizada para propósitos que podrí­an incluir el robo de identidad.

En Estados Unidos el número de seguro social es información clave para transacciones de crédito con bancos y compañí­as de financiamiento, así­ como también en expedientes médicos.

Lamentablemente, el gobierno de Puerto Rico no tiene un estándar para las aplicaciones que utilizan los ciudadanos, y en este caso se (vé) claramente que no protegen la información.

Frankie Ramos, experto en seguridad

Por otro lado, en entrevista ví­a Twitter, Miguel Cruz (@tokynet), también experto en seguridad, coincidió con Ramos en que la forma como la información es manejada en este sitio de internet del DTOP no ofrece garantí­a ninguna de que será manejada correctamente.

“La página no cuenta con SSL, así­ que cuando entras tu seguro social y le das “submit”, la informacion NO es encriptada. Esta data es fácil de interceptar con ataques de “Man in the middle” ya que no hay ningun tipo de autentificación (sic) de la página”, indicó el experto.

Ramos opina que el gobierno debe tomar acción estandarizando la forma en que las aplicaciones o sitios web manejan la seguridad de la información que les es suministrada. “Las compañias tienen marcos de regulaciones y responsabilidades de proteger la informacion confidencial de sus clientes”, dijo Ramos. “Lamentablemente, el gobierno de Puerto Rico no tiene un estándar para las aplicaciones que utilizan los ciudadanos, y en este caso se (vé) claramente que no protegen la información”, finalizó diciendo.

MUTIS DEL DTOP Y DEL PEI

Antes de la publicación de esta nota, intentamos comunicarnos con la oficina de prensa del DTOP para alertarlos sobre este asunto y obtener una reacción al respecto de Rubén Hernández Gregorat, secretario del departamento, pero nuestras llamadas a los números de teléfono indicados en la página de contacto de su sitio web no fueron contestados.

También se hicieron gestiones de obtener un comentario por parte del recién nombrado principal ejecutivo de información (PEI) de Puerto Rico, Juan Eugenio Rodrí­guez de Hostos. Sin embargo, estas también resultaron infructuosas.

Publicación o post anterior

CES2010: un "pequeño" adelanto de lo que habrá de anunciarse

Próxima entrada o post

Cuidado sitios de clasificados en internet: ahora Facebook compite con ustedes

9 comentarios

  1. Ivette Calderon
    06/08/2010 | 7:30 am a las 7:30 am —

    Esto es falta de un experto. Cosa que parece no tienen..llamen a tecnetico.

  2. gabriel anes
    02/18/2010 | 2:08 am a las 2:08 am —

    wilton envie tu escrito a un email de la fortaleza para ver si a alguien le interesa esa imformacion y hacen algo para evitar el robo de identidad

  3. tech
    01/06/2010 | 4:17 pm a las 4:17 pm —

    Esto es una falta de respeto a los ciudadanos de P.R. tras que el gobierno no sirve de por si tambien usan un sistema obsoleto y dejan los datos de identidad a merced de cualquier sinverguenza para que se los venda al primer refugiado indocumentado que aparezca y a la hora de la verdad nosostros el pueblo no valemos nada .

  4. 01/05/2010 | 2:49 pm a las 2:49 pm —

    El robo de identidad ya es algo como sacarse la loteria. Por mas que se quieran cuidar todos estan expuestos de una forma u otra. Actualmente bancos, gobiernos, aseguradoras, etc tienen nuestra informacion personal sumamente sensitiva y esta puede ser vista por muchas personas. Solo basta por que una de estas personas quiera hacer el daño y de la nada el Sr. Perez que se cuido mas que nadie en este pais para mantener su identidad segura termina con la misma comprometida.

    Todos estamos en el mismo riesgo de caer victimas de esta amenaza y NO podemos hacer nada.

  5. Edgar Diaz
    01/01/2010 | 3:28 am a las 3:28 am —

    No solo eso Wilton, tambien para un duplicado me pidieron copia de mi tarjeta de SS, si no no habia licencia, de verdad se que es un riesgo, pero en ese momento no me quedo otra opcion, espero los usuarios de Tecnetico tengtan en cuenta el riesgo que esto implica, si le es posible al pagar con tarjeta de credito usen una virtual, si estas siempre online sabras lo que quiero decir.

    –rammolo

  6. 12/31/2009 | 8:33 pm a las 8:33 pm —

    ALX:

    estoy trabajando lo más rápido posible para restablecer el foro.

    Gracias por tu paciencia.

  7. ALX
    12/31/2009 | 8:18 pm a las 8:18 pm —

    Eso es para que vean lo ineptos que manejan los sistemas de informacion de la isla. Contratan a cualquier pelagato pa que realice una pagina web y lo la verifican que cumplan con los estandares mas basicos. Que se ponga pa su numero wilton, si no va a poner el foro que borre el anuncio de “pronto”.

Comenta y exprésate

This site uses Akismet to reduce spam. Learn how your comment data is processed.