¿Cuán segura está la información de los ciudadanos en las bases de datos de las entidades estatales?
La pregunta está en el aire después de que la Caja Costarricense de Seguro Social (CCSS) denunciara haber sido víctima de un hackeo que comprometió los datos de 500.000 registros del Sistema de Recaudación Centralizada (Sicere).
El caso, que fue remitido al Ministerio Público del I Circuito Judicial de San José, pone al descubierto las debilidades de seguridad en el Sicere.
Son falencias que se pudieron haber atendido con anterioridad como controles con cada dirección IP que ingrese a la plataforma, según expertos consultados por Ef.
Vulnerabilidad
Los ataques se registraron el 13 de marzo y el 26 de mayo de este año, cuando se generaron “accesos masivos e indiscriminados a la base de datos Sicere”, denunció la CCSS.
El Sicere lleva el registro de los afiliados de la CCSS, ejerce el control sobre los aportes del Régimen de Invalidez, Vejez y Muerte, pensiones complementarias, enfermedad y maternidad, fondos de capitalización laboral y las cargas sociales.
En la denuncia, de la cual EF tiene copia, la institución indica que el robo de información se produjo en el Histórico Laboral, “utilizando acceso y autenticaciones diferentes de las establecidas, excediendo los privilegios de acceso a datos que usualmente tendría el usuario autorizado”.
De acuerdo con la entidad, la intromisión se dio por parte de funcionarios del Banco BAC San José, cuando enviaron solicitudes masivas de información y con software tipo robot lograron acceder a los datos de más de 522.000 afiliados.
El 13 de marzo se contabilizaron 37.974 peticiones y el 26 de mayo fueron 151.990 solicitudes de acceso a los servicios de la Oficina Virtual. Mientras que el promedio diario es de entre 100 y 200 consultas.
Emilio Bogantes Vásquez, ingeniero en sistemas de información de la compañía Baum Digital, afirmó que este caso refleja que no se están aplicando correctamente los protocolos de seguridad para el resguardo de la información.
La protección de la información se rige a partir de los pilares de la seguridad que son la confidencialidad, la integridad y la disponibilidad, los cuales fueron violados con este ataque.
La entidad bancaria tiene autorización para acceder al sistema, sin embargo su acceso está restringido a un número de consultas diarias, cifra que fue ampliamente sobrepasada y fue cuando la CCSS se dio cuenta del problema y lo atribuyó a un hackeo .
“En mi apreciación fue una vulnerabilidad del sistema de información que permitió brincarse la restricción diaria y permitir el acceso y utilización de los datos”, dijo Bogantes.
Cerca de la mitad de los incidentes ocurridos tanto en entidades públicas como privadas están relacionados con ataques externos, mientras que una cuarta parte tiene que ver con dispositivos perdidos o robados con información sensible, según datos la empresa de ciberseguridad ESET Latinoamérica.
El restante 25% se reparte entre información publicada accidentalmente, casos de fraude interno y niveles pobres de seguridad.
En el caso de la CCSS, se trató de un estado frágil y en una mala autenticación de usuarios en el sistema, manifestó Denise Giusto, de ESET Latinoamérica.
¿Es esta una debilidad que pudo haberse reparado?
Bogantes consideró que una manera de evitar este tipo de ataques es brindar acceso al sistema por medio de una restricción por dirección IP de la cual se lleva un registro de las consultas en una base de datos.
Tomando en cuenta la restricción que posee dicho enlace, se anula el acceso inmediatamente cuando este llega al su límite diario, y de esta manera se impediría que se realicen consultas no autorizadas.
Legalidad
Aunque estos hechos se empezaron a detectar con anterioridad, no fue hasta el 14 de agosto cuando la institución presentó la denuncia ante el Ministerio Público, y ante la Agencia de Protección de Datos, el 21 de agosto.
La institución afirma que hubo una violación al derecho de autoderminación informativa de los usuarios de la Caja Costarricense de Seguro Social.
La Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, en el artículo 3, estipula los alcances de los datos sensibles, los cuales protegen, entre otros aspectos, la información socioeconómica.
Es en esta base legal con la cual la CCSS sustenta su denuncia contra los dos empleados de BAC San José.
“Muchas personas y entidades abusan del acceso a la información y debido a la incapacidad que existe para controlar las consultas confidenciales, ocurren estas filtraciones”, acotó Bogantes.
EF intentó conocer cómo se encuentra actualmente el sistema y las medidas que se tomaron luego de la extracción de información. Sin embargo, la dirección del Sicere comunicó por correo electrónico que el caso está en investigación y, por ende, no se referirían más del tema.
Días antes, Rónald Lacayo, director del Sicere, y la presidenta ejecutiva de la Caja, María del Rocío Sáenz Madrigal, garantizaron que con el robo de información no se alteraron los datos de empleados ni de patronos.