Aún es incierto el tiempo durante el cual estuvieron expuestos datos personales claves de los ciudadanos que se han registrado en las páginas en internet y aplicaciones móviles conocidas como Bogotá Cuidadora y Gobierno Abierto de Bogotá (Gabo), de la alcaldía de Claudia López.
Pero se calcula que fueron más de 64 días hasta que la Superintendencia de Industria y Comercio (SIC) lanzó la alerta el pasado 5 de agosto.
En efecto, EL TIEMPO estableció que, a causa de una vulnerabilidad de los sistemas de seguridad digital, quedaron al alcance de cualquiera desde actas de exhumación hasta cédulas de ciudadanía y diplomas de grado.
El caso cobra relevancia porque, de cara a la pandemia, este tipo de plataformas se han convertido en los únicos mecanismos para que la gente acceda a información y beneficios.
Además, porque el fraude y otros delitos a través del uso de este tipo de datos tienen encendidas las alarmas de las autoridades (ver nota a final).
En el caso de Bogotá Cuidadora –usada para aprobar los registros de movilidad en la pandemia– ya se había generado una polémica en torno a la privacidad de información, lo cual llevó a López a derogar el parágrafo en el que le daba el carácter de obligatorio a la entrega de datos.
La gravedad de esta vulnerabilidad radica en la exposición de datos personales por el tipo de documentos que se encuentran almacenados en estas carpetas
Esta vez, en una resolución del 5 de agosto –conocida en su integridad por EL TIEMPO–, la SIC conminó al Distrito a ejecutar correctivos para frenar la fragilidad de los servidores tramitesenlinea.saludcapital.gov.co y reddecuidadociudadano.gov.co.
“La gravedad de esta vulnerabilidad radica en la exposición de datos personales por el tipo de documentos que se encuentran almacenados en estas carpetas”, señala la SIC en el documento, que deberá ser respondido por el Distrito en los próximos días.
Y agregó: “Se encontró igualmente que es posible acceder a otros directorios o carpetas sin tener autorización o sin que pida autenticación para ello, poniendo en riesgo la información que es almacenada”.
A lo que se refiere la entidad es que cada vez que un ciudadano entregaba información a través de estas plataformas, diligenciando los formularios relacionados con su ubicación y, en algunos casos, con la confirmación de que fue infectado con el coronavirus, la falta de salvaguardas digitales permitía que cualquier externo pudiera llevarse esos datos.
Las falencias se detectaron luego de dos meses de funcionamiento en las direcciones de alojamiento IP 40.117.120.123 e IP 208.30.40.188, que hasta el momento de la alerta de la SIC tuvieron acceso libre.
La respuesta del Distrito
“Adicional a la vulnerabilidad con severidad crítica que reporta la herramienta, se destaca la vulnerabilidad ‘Browseable Web Directories’, la cual relaciona una serie de carpetas en este servidor a las cuales se puede acceder directamente y sin necesidad de una autenticación previa”, precisa la Superintendencia en su alerta al gobierno capitalino.
El propio Distrito le admitió a EL TIEMPO que si bien la falla ya fue corregida y que hasta ahora no se ha detectado ninguna fuga de información, intentan saber desde cuándo se registró la falla con la información que la ciudadanía le ha confiado al Distrito.
Felipe Guzmán, el alto consejero TIC del Distrito, aseguró que ya comenzaron las investigaciones y pusieron de inmediato en marcha los correctivos apenas se detectó esa vulnerabilidad.
Ya comenzaron las investigaciones y pusieron de inmediato en marcha los correctivos apenas se detectó esa vulnerabilidad: Distrito
“Fue una falla en la configuración de navegabilidad que no sabemos cuándo comenzó, porque constantemente hacemos ajustes y actualizaciones a nuestros sistemas. Pero, y eso debe quedar claro, toda la información ciudadana quedó y está a salvo”, le dijo Guzmán a EL TIEMPO.
El funcionario agregó que ya hay un equipo investigando lo sucedido para poder tener la certeza de que no hubo fugas de datos, aunque hasta ahora no hay rastro de que algo así haya pasado.
De hecho, advirtió que la alcaldía de Claudia López tiene entre sus prioridades la seguridad de la información personal de los ciudadanos.
No obstante, Guzmán también admitió que la falla en los sistemas de protección solo se conoció cuando la Superintendencia de Industria y Comercio (SIC) lanzó la alerta.
En todo caso, el consejero de las TIC aseguró que todos los correctivos ya se tomaron y que así se lo notificarán en cuestión de días a la misma SIC.
Detección de ataques
Además, indicó que la ciberseguridad de toda la alcaldía está siendo potenciada, al punto de que han detectado más de 50.000 intentos de ingreso no autorizados a sus plataformas, los cuales han sido repelidos.
Sin embargo, este es el segundo problema que la alcaldía de Claudia López enfrenta con estas aplicaciones. Si bien los datos digitales son claves para enfrentar la pandemia, lo cual reconocen expertos a nivel mundial, su base está en la posibilidad de que el ciudadano sea quien elija libremente entregar sus datos.
Este diario también estableció que están bajo vigilancia de la SIC las aplicaciones EsperanzAPP, de la gobernación de Caldas; Cuidémonos, de la alcaldía de Cartagena; Boyacá-Covid19, de la gobernación de ese departamento, y hasta CoronaApp, la que maneja el gobierno de Iván Duque y tiene alcance nacional.
Policía, a explicar rastreo de datos en redes
El Distrito no es al único al que se le está pidiendo cuentas por el manejo y uso de los datos personales. La Procuraduría decidió vigilar de cerca el proceso licitatorio a través del cual la Policía Nacional busca adquirir un polémico sistema de ciberinteligencia con capacidad de hacer rastreos en redes sociales y plataformas de mensajería instantánea.
El Ministerio Público le envió un oficio a la institución en el que le hace varios requerimientos, relacionados con la necesidad de acceder a este tipo de tecnología y a los controles que se tendrán. La Policía ha explicado que se trata de un mecanismo para frenar los ciberdelitos, disparados en la pandemia.
UNIDAD INVESTIGATIVA
u.investigativa@eltiempo.com