La ingeniera colombiana de Microsoft en Seattle, Juliana Peña, ha hecho públicas sus observaciones sobre la falta de seguridad informática del censo actual dirigido por el presidente Santos. Concretamente, sus observaciones como desarrolladora de la empresa de Software de los Estados Unidos, establece públicamente errores de protocolo contenidas en el censo electrónico que durante los últimos días ha tratado de llevar a cabo la administración Santos. La información fué originalmente confirmada por la WRadio en entrevista con Juliana.

La ingeniera colombiana de Microsoft en Seattle, Juliana Peña, ha hecho públicas sus observaciones sobre la falta de seguridad informática del censo actual dirigido por el presidente Santos. Concretamente, sus observaciones como desarrolladora de la empresa de Software de los Estados Unidos, establece públicamente errores de protocolo contenidas en el censo electrónico que durante los últimos días ha tratado de llevar a cabo la administración Santos. La información fué originalmente confirmada por la WRadio en entrevista con Juliana.

En sus propias palabras:

“El código detrás del eCenso Offline, hasta donde puedo ver, es casi idéntico al del eCenso normal. El código está escondido usando la bandera de archivo de sistema de Windows, pero apenas activé la opción de mostrar estos archivos en Windows, los pude ver.

Esto significa que cualquier persona puede descargar el código completo del eCenso y ver qué está ocurriendo. Esto también podría llevar a que un hacker pueda leer el código para descubrir más problemas de seguridad.

Las contraseñas se almacenan en MySQL, en la base de datos bd_censo y la tabla ecp_usuarios. La contraseña para la base de datos está disponible en el código en los archivos de configuración. Creé un usuario de prueba y pude extraer su nombre de usuario y contraseña:

Parece que está encriptada, ¿no? Sí, está encriptada, pero es encriptación simétrica, y lo peor de todo es que la llave es pública para que todos la vean. El código para encriptar y desencriptar contraseñas es el siguiente, del archivo Danecrypt.php:

Adicionalmente, este código no es seguro. Haciendo una búsqueda, podemos ver que este código fue copiado y pegado de StackOverflow de una respuesta que tiene numerosas advertencias de los problemas de seguridad incluídos en él. ¿Por qué el DANE usaría código que la comunidad de programadores profesionales diría que es inseguro?”

El diagnostico de Juliana, es menudamente explicado en su blog http://julip.co/ , en el que a nombre propio, lleva a cabo una socialización de casos en materia de tecnología y seguridad informática. Su información ha llevado al gobierno nacional, y particularmente a la oficina del DANE a tratar de justificar sus fallas atacando a la desarrolladora, sin embargo, con el paso de los días, el escandalo no hace más que aumentar.

Con ocasión de sus análisis detallados, la ingeniera complementa el diagnostico con las capturas de pantalla y pasos explicados de los numerosos fallos de seguridad del Censo electrónico del actual gobierno, la informática concluye textualmente que:

“Todo esto apunta a que el eCenso tiene numerosos problema de seguridad. No solo guarda la contraseña en un formato de encripción reversible, sino que hace que la llave de encripción esté pública para que todos la vean y mandan las contraseñas por email en texto plano. Además, otras contraseñas como la de la base de datos están fácilmente disponibles en el código descargable.

En mi opinión, el DANE debe responder a estas fallas de seguridad tremendas que hay en el eCenso. Están promoviendo el eCenso como seguro, pero esto es falso. Por lo menos, de manera inmediata deben quitar el eCenso Offline y actualizar todas las contraseñas y llaves de encripción en su aplicación online, especialmente si se comparten con la versión offline.”

Los comentarios de ciudadanos indignados en redes, no se han hecho esperar: