¿Hackeo de la caja?

09-06-2015

Me he mantenido al margen de este tema porque es triste, muy triste. Y lo triste es escuchar a la gente referirse en medios al tema porque es evidente que no tienen idea de qué están hablando, sin importar el título con el que se presenten al público. Un buen resumen de esto lo constituyen dos segmentos del programa “nuestra voz” que conduce Amelia Rueda.

El primero salió al aire el día 1ero de setiembre, donde Amelia Rueda inicia el tema aseverando que ”fue la misma Caja la que nos informaba del tema de SICERE”, posiblemente haciendo referencia a un artículo de La Nación sensacionalistamente titulado “‘Hackers’ violan datos de planillas en sistema de CCSS” (a que no enlazo por razones conocidas).

Desde el inicio, valga la redundancia, comenzamos mal. Wikipedia dice sobre “hacker“, en el artículo en Español, lo siguiente:

El término hacker tiene diferentes significados. Según el diccionario de los hackers, es todo individuo que se dedica a programar de forma entusiasta, o sea un experto entusiasta de cualquier tipo, que considera que poner la información al alcance de todos constituye un extraordinario bien. De acuerdo a Eric Raymond el motivo principal que tienen estas personas para crear software en su tiempo libre, y después distribuirlos de manera gratuita, es el de ser reconocidos por sus iguales. El término hacker nace en la segunda mitad del siglo XX y su origen está ligado con los clubes y laboratorios del MIT.

(énfasis mío). Usar hacker para decir “delincuente” es como usar “matasano” para decir médico o “vago” para decir artista.

Ese primer día participó del programa Ronald Lacayo, director de SICERE, la entidad dentro de la CCSS que mantiene la base de datos en cuestión, diciendo que habían ocurrido dos eventos, el primero de ellos en marzo de 2015. En ese momento dice él que ”los sistemas de datos alertan por un acceso masivo, una consulta anormal”. Eso es en sí un dato interesante. Lo que sea que SICERE esté utilizando para permitir acceso externo a la esta base de datos tiene la capacidad de monitorear los accesos y generar alertas cuando ocurran “consultas anormales”. Lo extraño es que parece que no es sino hasta que se recuperan medio millón de registros que el sistema considera esto como anormal. Si medio millón es mucho o poco es una política cuya definición dependerá del SICERE, pero una vez que han tomado una decisión al respecto, es responsabilidad de ellos tomar medidas para que dicha política se cumpla. Por lo que dice don Ronald, tal política estaba en efecto implementada, y por lo que dice don Ronald, fue el mismo SICERE quien decidió que para caer en la categoría de anormal, debía llegarse al medio millón de accesos. En otras palabras, quienes accedieron al sistema hicieron lo que el sistema les permitió hacer. Don Ronald dice que hubo un segundo evento en mayo del mismo año, y esta vez la alarma se dispara luego de 30 mil accesos. Aparentemente entre marzo y mayo SICERE había realizado un cambio en su política. Para quienes observamos esto desde la barrera, esto suena a que en primera instancia no se había realizado ninguna configuración y el sistema estaba operando con lo que fuera que el vendedor había colocado como valor por defecto.

¿Qué exactamente es lo que ocurrió? Esta pregunta no es mía, es de Amelia Rueda, aunque ella la plantee en términos “diferentes”, y para lo cual acude al abogado laboral Marco Durante, a quién le consulta respecto a para qué puede servir esta información. Él le da rienda suelta a su imaginación cuando inmediatamente se va no por el lado del acceso a la información sino por otro diferente: ”Una manipulación podría ir desde completar cuotas que los trabajadores no tienen, corregir posibles incumplimientos, modificar salarios reportados […] Hay que determinar qué era lo que estaban buscando estas personas.” Y, bueno, sí. Honestamente no se me había ocurrido, sabiendo que se estaba hablando de medio millón de registros, la posibilidad de alterar la información contenida en la base de datos. Digo, sería un escenario apocalíptico, digno de Mr Robot, el hecho de otorgarle la pensión inmediatamente a medio millón de asegurados.

Planteando la pregunta de qué ocurrió en forma maś seria, la respuesta es sencillamente lo que ha salido en prensa: dos funcionarios del BAC, posiblemente actuando bajo órdenes de un superior, decidieron utilizar el acceso que SICERE les otorga a la base de datos de invalidez, vejez y muerte y la de aportes obero-patronales para descargar esos registros. Acá vale la pena aclarar que posiblemente estamos hablando de muchísimo más registros que solo medio millón, pues según don Ronald el sistema lo que contiene es “el histórico salarial [de cada asegurado] desde marzo de 2001 a la fecha”. Hay dos formas de entender eso: cada persona tiene aproximadamente hasta (15 años)×(12 registros anuales)=180 registros y lo que se accedió fue la información de 500 mil personas (100 millones de registros); ó efectivamente se accedieron solo 500 mil registros, para unas 2500 personas. La información en la prensa indica que es lo primero y no lo segundo, pero me parece interesante el detalle pues transforma al asunto de escándalo a operación normal de una entidad como el BAC. También vale la pena subrayar que esta es muy similar a la información por la que un periodista llegó hasta la Sala Constitucional (expediente 13-012328-0007-CO), aunque en ese caso el recurrente quisiera solamente los datos de solo cien mil empleados públicos, pero por un periódo más prolongado de tiempo (comenzando en 1993), es decir, unos 26 millones de entradas.

Mas de uno debe estar aún con la duda de para qué quieren dos funcionarios del BAC esta cantidad de información. Primero he de decir que no tiene nada que ver con la definción de hacker en Wikipedia respecto a poner la información al alcance de todos. Segundo, la respuesta obvia (y cínica) es “para poder jodernos más con llamadas contando las bondades de BAC Pensiones, a pesar de haberles dicho multitud de veces que no tenemos interés en pasarnos de operadora”, pues la información les permitiría identificar con mayor precisión las personas que no son clientes de ellos y que representarían mayor ganacia para ellos. La respuesta menos obvia (y menos cínica) es que acceder al SICERE por los mecanismos que ellos ofrecen es leeeeeeeeeeeeeeeeeeeeeeeeeeento, y que lo que este par de pobres empleados estaban haciendo era una copia local de la información, en un sistema mucho más rápido, que les perimitiría operar con menos problemas. Y eventualmente minar los datos para decidir a quién vale la pena llamar para preguntarle si quiere pasarse de operadora.

Volviendo a la imaginación del abogado, el funcionario de la CCSS asegura que en el sistema “no hay para nada posibilidad alguna de hacer modificaciones”, así que si alguno estaba con la esperanza de pensionarse el próximo mes gracias la acción de algún vigilante anónimo, puede despedirse de ese sueño. Es interesante que el funcionario también aclara que “el sistema permite [a las operadoras] tener conocimiento de sus afiliados”. En otras palabras, hay de parte del SICERE un deseo de que las operadoras accedan solo a la información de las personas que ya son clientes de cada una. Como ni el BAC ni BAC Pensiones tiene a medio millón de masoquistas como clientes, es de suponer que el deseo del SICERE no se ha traducido en una política que el sistema informático transforma en medidas efectivas que se cumplen siempre y para todos los casos. El mismo funcionario asegura que ”el uso de la información está reglamentado” y el gerente del BAC, en el programa del día siguiente, asegura que desconoce la existencia de tal reglamentación. Con esto quiero decir que posiblemente hay un mundo de diferencia entre lo que el SICERE desea que ocurra y lo que efectivamente está implementado en la realidad en el sistema que el BAC utilizó para acceder los datos.

Amelia Rueda, para no quedarse muy atrás del abogado, también deja volar la imaginación cuando pregunta ”¿por qué no tienen esto encriptado?” y “¿qué garantía hay de que tienen la seguridad extrema, o si ya lo tienen y aún así se metieron los hackers?”. Acá es útil señalar que hay una forma muy sencilla de hacer que un sistema informático sea más seguro (que es diferente a “absolutamente seguro”) y es simplemente desconectarlo de todo. Si el sistema no se puede acceder de ninguna forma, no hay manera de violentarlo. Y para usar un ejemplo a la mano, en Mr Robot, uno de los problemas que F-Society tiene es destruir los datos archivados literalmente en ambos lados del mundo, y específicamente en el caso de Steel Mountain, un sitio que carece de conectividad con el mundo exterior, por lo cual se ven forzados a acceder físicamente a las instalaciones con la finalidad de violentar el perímetro de seguridad desde adentro. Y muestran dos debilidades de esta clase de sistemas: primero la gente; segundo el hecho que no es cierto que estén totalmente desconectados del mundo exterior. La respuesta a la pregunta de Amelia Rueda es entonces “desconecte el SICERE de todo”, y acto seguido se hace necesario enviar diariamente a gente a agregar y recuperar la información que las operadoras de pensiones (y otras entidades) requieran, lo cual tendría como consecuencia inmediata que ella estaría pegando gritos en radio respecto a como en Costa Rica todavía vivimos en la edad de piedra y que es una barbaridad que no sepamos utilizar la tecnología moderna para resolver estos problemas.

(y ni siquiera me voy a referir a la idea que encriptar algo lo hace automáticamente más seguro).

Es de resaltar que Amelia Rueda, cuando habla con el director de SICERE asegura que ”los procedimientos de la SUPEN no son seguros“, a lo cual lo único que es responsable contestar es que si Amelia Rueda tiene información respecto a la inseguridad (real, no imaginada) del sistema del SICERE, ella debería poner a las instancias competentes al tanto. En ese sentido, al día siguiente, conversando con el Fiscal General Jorge Chavarría, él asegura que el delito en cuestión “es sabojate informático”. También aclara que “la sola intrusión indebida en una base de datos configura delito”. Se refiere específicamente al artículo 196bis del código penal, que dice:

Artículo 196 bis.- Violación de datos personales. Será sancionado con pena de prisión de uno a tres años quien en beneficio propio o de un tercero, con peligro o daño para la intimidad o privacidad y sin la autorización del titular de los datos, se apodere, modifique, interfiera, acceda, copie, transmita, publique, difunda, recopile, inutilice, intercepte, retenga, venda, compre, desvíe para un fin distinto para el que fueron recolectados o dé un tratamiento no autorizado a las imágenes o datos de una persona física o jurídica almacenados en sistemas o redes informáticas o telemáticas, o en contenedores electrónicos, ópticos o magnéticos. […] Tampoco constituye delito la recopilación, copia y uso por parte de las entidades financieras supervisadas por la Sugef de la información y datos contenidos en bases de datos de origen legítimo de conformidad con los procedimientos y limitaciones de ley.

En ese sentido, Álvaro Ramos, superintendente de pensiones dice que “el problema sería si esos datos se usan en una forma que pueda afectar el comportamiento competitivo de las operadoras de pensiones”. Es triste que al superintendente de pensiones le preocupen, en primera instancia, cuestiones de mercado y no de privacidad de las personas.

En la misma línea, Gerardo Corrales, gerente general del BAC San José, tiene prisa en aclarar que la demanda penal no es contra el BAC, sino contra dos de sus funcionarios. Respecto al control de acceso a la información, lo mejor que él puede responder es que “obviamente las entidades financieras tenemos los máximos niveles de seguridad de sistemas y de accesos. Cuando funcionarios nuestros accesan bases de datos, lo hacen por canales oficiales. Los funcionarios del BAC lo hicieron con las claves que la CCSS suministra.” No se refiere nunca a los controles internos del banco respecto a quién, a lo interno de la institución, puede o no puede acceder a esta información. Ante la pregunta de para qué querían la información la respuesta fue “no puedo decirle más allá porque en un tema penal lo que las partes puedan decir más bien se puede devolver después en contra”. Sin embargo sí se refiere a la reputación de la institución, no estoy seguro si del SICERE o del BAC, y recuerda que “nosotros [el BAC] sufrimos un ataque en el año 2004 que nos afectó fuertemente la reputación”. Honestamente a mí ya se me había olvidado el episodio.

Volviendo al principio, Gerardo Corrales, en algún momento de la entrevista, se refiere a la definición del Diccionario de la Real Academia del término “hacker”, y asegura que hay “hackeo” cuando “alguien anónimamente, malintencionadamente, negligentemente entra sin autorización a una base de datos”. Como me sorprendió la especificidad de la supuesta definición del DRAE, buscando en la edición en línea no encontré ninguna acepción ni para ese término ni similares. En el _diccionario panhispánico de dudas_ se incluye “hacker” como una referencia a “pirata informático”, y allí dice:

pirata informático. Traducción recomendada para la voz inglesa hacker, ‘persona con grandes habilidades en el manejo de ordenadores, que utiliza sus conocimientos para acceder ilegalmente a sistemas o redes ajenos’: «Un pirata informático logró jaquear los sistemas de seguridad» (Clarín@ [Arg.] 19.6.05).

Todas esas -mentes a las que hace referencia el señor gerente son producto de su propia imaginación. Sin embargo sí es cierto que, en el inconsciente colectivo, un “hacker” es alguna forma de delincuente, y el enfoque de este tema en la prensa ha sido, desde el inicio, exactamente ese, supongo que haciendo eco de elementos de televisión y películas en los cuales la noción de investigar cómo funciona algo por el puro placer de hacerlo simplemente no cuaja. Es más fácil utilizar la ficción como asidero de la realidad, y no al revés.

Pero más allá de la tristeza de ver a tanta gente hablando desde la ignorancia, me preocupa que alguien haga la conexión (inexistente) entre este episodio y la idea de abrir el acceso a la información pública, precisamente porque también en ese otro tema se habla desde la misma ignorancia, y las mismas preguntas que no se hacen en una situación tampoco se están haciendo en la otra, como por ejemplo, qué estamos haciendo para que las pocas personas que sí tienen acceso a la información en este momento la utilicen en forma que no constituya una violación a la privacidad del resto.



  « Anterior: Siguiente: »