El CENSO es algo que es reconocido como una tradición para muchos colombianos ya que permite conocer distintos datos estadísticos y un conocimiento de los hogares en distintas ciudades. El gobierno al anunciar que en el 2018 este seria realizado una parte por internet generó todo tipo de impresiones sobretodo en muchas personas que estaban acostumbradas a la visita domiciliaria la cual el gobierno ya aclaro que también se realizará.
Una de las problemáticas del CENSO o el eCENSO digital como es llamado es la seguridad de la información y el manejo de datos personales, en un era donde existe una inseguridad de la información y donde cualquier dispositivo conectado a internet es vulnerable.
A los pocos días de publicado el eCENSO, algunas personas hicieron distintos comentarios sobre la seguridad de la información, una de ellas la ingeniera de Microsoft Juliana Peña la cual en su blog personal escribió una nota hablando de la recuperación de las contraseñas y como estas se encontraban en texto plano. Para mayo información se puede ver la nota personal de la ingeniera en este link.
OTROS TEMAS QUE DEBERIA REVISAR EL DANE EN SEGURIDAD DE LA INFORMACIÓN
Con el ingeniero Cristo Santos Consultor en Seguridad de la información de Cloud Seguro, nos dimos la tarea de revisar otros temas de seguridad de la información del eCenso, y se encontraron otros detalles importantes que se deberían tener en cuenta. Analizando mas a fondo, se verifica el código JavaScript que hace parte del formulario.
La característica principal de este lenguaje de programación, es que se ejecuta del lado del cliente y no del lado del servidor, por lo cual se puede revisar en el browser presionando la tecla F12(sea Internet Explorer, Chrome, Mozzila, etc). Para el caso de nosotros, lo verificamos en Chrome.
Lo que más llama la atención es que se está usando un algoritmo Hash como md5 el cual es bastante vulnerable. El origen de la determinación del algoritmo de cifrado MD5 como vulnerable o «oficialmente roto» data de 2004, cuando Xiaoyun Wang y su equipo anunciaron el descubrimiento de colisiones de hash para MD5
Cualquiera puede realizar cracking de contraseñas MD5 en la siguiente página, Dicho de otro modo, por recomendación se debería utilizar otros algoritmos de cifrado como es el caso de SHA2.
Así mismo, es recomendable que no solamente se cifren los datos en la web, sino que también se haga cuando la información es descargada, analizada y gestionada por funcionarios públicos o terceros.
LA SEGURIDAD DE LA INFORMACIÓN EN TODO EL CICLO
Es importante resaltar que la seguridad de la información es un ciclo constante por lo tanto no es solo en la pagina de donde se recolecta los datos, también es la forma como se gestiona, se almacena y se empieza analizar los datos. Es por eso que decir en la actualidad que una pagina o algo es 100% seguro no es real ya que todos los días salen vulnerabilidades y pueden verse distintas posiciones sobre la seguridad.
La mayor conciencia que debe tener una entidad pública es entender que los mismos ciudadanos deben tener claridad sobre la seguridad de los datos y que opiniones como la de la ingeniera Juliana Peña de Microsoft o de cualquier persona deben ser bien recibidas, ya que sirven para mejorar la seguridad de mecanismos como el ECENSO.
En diciembre de 2017 el MINTIC, publicó ya las guías finales del modelo nacional de gestión de riesgos y seguridad digital (MGRSD) y estás dejan claro que debe ser un ciclo constante en el tratamiento de riesgos. Estas Guías deben ser implementadas por entidades públicas en este link se pueden consultar. Lo interesante de estas Guías es que da las pautas para la identificación de activos de información y que sin lugar a duda el DANE, lo viene haciendo.
Y LOS TÉRMINOS Y CONDICIONES DEL ECENSO
Lo que los ciudadanos también deberían tener en cuenta son los términos y condiciones de ecenso, los cuales son resumidos pero dejan claro que es información reservada en el manejo de datos. El ecenso en sus términos señala lo siguiente:
“Para su tranquilidad y por su seguridad, los datos suministrados al DANE, en desarrollo de los censos y/o encuestas, de conformidad con lo establecido en el parágrafo segundo del artículo 5° de la Ley 79 de 1993, tienen carácter de reservados y no podrán ser utilizados con fines comerciales, de tributación fiscal o de investigación judicial; sólo podrán darse a conocer al público en resúmenes numéricos que no hagan posible deducir de ellos información alguna de carácter individual.
En nuestra labor de consultores en seguridad de la información es bueno recomendar al DANE, que deberían también mencionar en sus términos y condiciones que cuentan con políticas de protección de datos y políticas de seguridad de la información. El DANE cuenta con políticas de protección de datos y políticas de seguridad de la información, pero no son mencionadas en los términos del censo, y estas deberían estar en la web del censo.
Estos procedimientos dejan claro que el DANE reconoce la información y en especial los datos utilizados para producir estadísticas, son los activos más importantes de la entidad.
En conclusión los aportes de los ciudadanos deben ser bien recibidos ya que ayudan a generar una confianza en temas como el ecenso, el cual sin duda debe revisar todos los días la seguridad de la información y el manejo de datos reservados.
Por: *Germán Realpe Delgado- Cristo Santos
Consultores seguridad de la información y Privacidad Cloud Seguro
Nota realizada para Enter.co
