Vulnerabilidad
en el sitio web de la AFIP y la red bancaria - bs As, 8 de
diciembre de 2006 - Fuente: ITMaster Professional Training (Comunicado
de Prensa)
Grave
problema de seguridad divulga información privada de todos los
ciudadanos argentinos a través de la web
ITMaster
Professional Training ha detectado un grave problema de seguridad que
permite que cualquier persona que posea una cuenta bancaria en una red
bancaria pueda consultar cuánto gana cualquier otro argentino,
así como también consultar los aportes provisionales que
realiza, ver el detalle de deudas impositivas e, incluso, poder publicar
una declaración jurada a nombre de otra persona.
La
vulnerabilidad fue detectada por un error de programación en
un sitio web, cuya solución es muy simple y es parte de las técnicas
de aseguramiento de la información y de programación segura
que los profesores dictan en la carrera Experto en Seguridad Informática
y en el Master en Seguridad de Aplicaciones Web.
La
vulnerabilidad fue informada en forma inmediata a los sitios web afectados
por los medios indicados en sus respectivos sitios, pero no hemos recibido
respuesta ni hemos detectado la solución, por lo que creemos
necesaria la difusión inmediata de este grave problema que vulnera
los datos privados de todos los argentinos.
Se
hace necesario a tal fin concientizar a todos los ciudadanos, instituciones
y empresas que poseen información digital sobre la necesidad
de la implementación de políticas de seguridad y auditorias
del software, herramientas y hardware que trabaja con información
sensible de las personas con el fin de garantizar la privacidad e integridad.
"La
vulnerabilidad existente se debe a un error muy simple (pero con graves
consecuencias) en la programación de la página web en
cuestión. Es un error del programador, pero mucho más
grave lo es de quienes auditaron y aprobaron el código del software
que dicha persona programó, más teniendo en cuenta que
se trata de un servicio público con información de todos
los argentinos", comenta Maximiliano Firtman, director del instituto,
profesor de la carrera Programador Web y reciente finalista en los premios
a la Inteligencia Argentina "Sadosky 2006".
QUE
SE PUEDE HACER SIN SER LA PERSONA FÍSICA CONSULTADA
De
cualquier persona que sea empleado, se puede ingresar al servicio "Mis
Aportes" y consultar los sueldos de los últimos años,
aportes realizados, deudas provisionales y todos los últimos
empleadores disponibles.
Por
otro lado, de cualquier persona que sea monotributista o autónoma,
se pueden presentar declaraciones juradas y pagos ante la AFIP a nombre
de esa persona, solicitar un plan de facilidades de pago, consultar
deudas provisionales o consultar todos los pagos que ha realizado cualquier
contribuyente desde 1993 hasta la fecha.
ACERCA
DEL PROCEDIMIENTO
El
procedimiento no requiere de conocimientos de hacking, ni de técnicas
extrañas, sino simplemente requiere utilizar cualquier navegador
de internet y hacer un cambio muy simple que puede ser realizado por
cualquier persona con un mínimo conocimiento de Internet. El
procedimiento no es considerado una técnica de hacking porque
incluso puede llegarse a realizarse por un error involuntario del usuario.
El
único requisito es poseer una caja de ahorro o cuenta en un banco
que opere en Internet en una de las redes de bancos. La vulnerabilidad
se encuentra en la interconexión de los sistemas bancarios con
el sistema de la AFIP, y permite conectarse con los servicios online
de la AFIP sin necesidad de tener la clave fiscal de la persona, clave
digital que cada ciudadano registrado en la AFIP posee.
La
empresa Ikusec, auspiciante de la carrera de Seguridad Informática,
expresó a través de su director Sebastián Firtman:
"la seguridad informática no es una técnica, sino
que es una manera de hacer las cosas en forma correcta y la vulnerabilidad
encontrada no es mas que la muestra de que falta un largo camino para
concientizar a las personas, sobre el peligro que es en este caso, programar
sin una etapa de revisión de seguridad".
Como
lo hemos expresado en las comunicaciones hacia los responsables de los
sitios vulnerables, quedamos a disposición de los interesados
para ofrecer toda la información requerida acerca del procedimiento
y cómo solucionarlo para evitar este tipo de problemas en el
futuro. No pretendemos asustar a la gente ni desalentar el uso de este
tipo de sistemas, sino que esperamos ayudar a que la información
digital en Argentina siga existiendo y funcionando, pero con la seguridad
e integridad que este tipo de información merece según
normas internacionales.
ACERCA
DE ITMASTER
ITMaster
Professional Training (www.itmaster.com.ar
/ www.itmaster.com.mx /
www.itmaster.es) es un instituto
de capacitación presencial y a distancia inaugurado en febrero
de 2006 por el mismo grupo español que tiene a su cargo desde
hace ocho años uno de los institutos líderes en educación
a distancia en Iberoamérica: CampusDigital.com. Actualmente,
ITMaster, cuenta con 9 carreras en funcionamiento, entre las que se
destacan Programador Web, Seguridad Informática y la exclusiva
carrera Desarrollador Mobile, para desarrollar aplicaciones, juegos
y servicios para teléfonos celulares y dispositivos móviles.
El
director del instituto es Maximiliano Firtman, reconocido profesional
del mercado, quien ha obtenido diversos premios y reconocimientos internacionales,
como ser "Forum Nokia Champion", como uno de los 50 top desarrolladores
móviles del mundo y es finalista del premio a la "Inteligencia
Argentina Sadosky 2006". Además, es autor de los libros
"Programación para Celulares con Java", "ASP.NET"
y "Desarrollos Móviles con .NET", ha dictado conferencias
y cursos en universidades e institutos y es periodista especializado
en tecnología.
Para
solicitar mayor información y/o entrevistas:
Contacto
de Prensa: prensa@itmaster.com.ar
Contacto
Telefónico: (011) 5032 0077