3/4/2014

www.DatoSeguro.gob.ec NO es seguro | EcuaLUG

Foros

Comos

Trucos y tips

FAQ

encuestas

Videos

Mitos sobre GNU/Linux

buscar

Principal

Acerca de..

Guia de usuario

Blogs blog de PaulCoyote

www.DatoSeguro.gob.ec NO es seguro

Anuncios Google

IESS Gov EC

IESS

Cedula

GOB

Enviado por PaulCoyote en Lun, 2012-11-26 09:27

Tema: Comunidad Hace unos meses, a travs de mi cuenta de Twitter, alert que la iniciativa www.DatoSeguro.gob.ec no era segura: El sistema de verificacin de identidad que exige al usuario cuando se registra a colocar la identificacin dactiloscpica de su cdula de identidad NO es suficiente. Si yo tuviera una copia de la cdula de identidad de cualquier persona, podra registrarme a nombre de esa persona. Incluso, si esa persona es el Presidente de la Repblica. El tema perdi importancia por unos meses, hasta este fin de semana (sab24 y dom25 de noviembre), en que le la historia de Matt Honan, escritor de la revista WIRED, que sufri de robo de identidad (Kill the Password: Why a String of Characters Cant Protect Us Anymore - http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-passwordhacker/). Con ese artculo rondando en mi cabeza, borr todas mis tarjetas de crdito de los sitios de internet y cambi mis contraseas por unas mucho ms seguras, siguiendo los consejos que se mencionan ah.\r\n\r\nY el tema de www.DatoSeguro.gob.ec me volvi a la mente. Hacerse pasar por cualquier persona en www.DatoSeguro.gob.ec es muy fcil. No se necesita ms que una cuenta de correo electrnico y un poco de tiempo. Debo aqu declarar que lo que hice fue hecho para mostrar una falla GRAVE, gravsima de seguridad en un sistema que declara ser seguro, desde su propio nombre. No se hizo para delinquir o para divulgar informacin que pueda ser utilizada con malas intenciones, ni para vender la informacin, chantajear o cualquier otra clase de acto ilegal o inmoral. Con estos antecedentes, explico lo sucedido: Preocupado por el artculo de M. Honan, volv a pensar en www.DatoSeguro.gob.ec. Yo saba, tena la total certeza, de que el sistema no era seguro. Cmo llamar la atencin para que el sistema sea mejorado, para que esa brecha de seguridad tan obvia sea cerrada? Lo nico que se me ocurri fue lo que hice: Crear el usuario y contrasea del Sr. Presidente Rafael Correa.
http://www.ecualug.org/node/17529 1/10

3/4/2014

www.DatoSeguro.gob.ec NO es seguro | EcuaLUG

Buscando en internet encontr los datos que necesitaba para crear la cuenta: La fecha de nacimiento y el nmero de cdula. La fecha de nacimiento la saqu de un sitio de celebridades (http://www.nndb.com/people/744/000162258/) y el nmero de cdula en el texto completo de la demanda del Sr. Presidente contra El Universo (http://rafaelcorreacontraeluniverso.eluniverso.com/demanda-contra-diario-eluniverso/). El nico dato que me faltaba era el \"Indice dactilar\". Por curiosidad, alguna vez me fij en los ndices dactilares de las cdulas de identidad: todos son muy parecidos. Hay una V o una E o una A seguido de varios nmeros: V23444 E5444 y as... combinaciones muy sencillas, aparentemente. El sistema me preguntaba los nmeros 3 y 4 del ndice dactilar. Con la primera combinacin de nmeros acert y mi cuenta fue creada. Luego de verificar el correo electrnico que enva el sistema, ahora tengo acceso a todos los datos "seguros" de Rafael Vicente Correa Delgado. Absolutamente sencillo. Me tom media hora, tal vez menos. La informacin que se encuentra en el sitio es delicada: Antecedentes penales, viajes al exterior, registro de vehculos, registro de propiedades, ttulos universitarios... Alguien con malas intenciones podra hacer muy mal uso de esta informacin. Esta falla de seguridad es GRAVISIMA, no solo por la cantidad de informacin que contiene sino por la intencin del sitio que debe mantener los DATOS SEGUROS de todos los Ecuatorianos. La ley del sitema nacional de registro de datos pblicos puede ser consultada aqu: (http://www.dinardap.gob.ec/institucion/nuestra-institucion.html). Cul es la solucin? Que www.DatoSeguro.gob.ec corte INMEDIATAMENTE el acceso a sus bases de datos de TODAS las cuentas registradas. La verificacin de la identidad deber hacerse en persona, con cdula de ciudadana original y en ese momento se entregara la contrasea. Como lo hace el IESS. Y adems, revisar TODOS los procesos que se estn implementando de acceso a datos pblicos a travs del internet: Registro de la propiedad, mercantil, civil, polica, migracin, cancillera... TODOS. Adjunto a este mensaje dos capturas de pantalla de la cuenta creada en www.DatoSeguro.gob.ec y del correo de confirmacin. La contrasea de acceso al portal y al correo electrnico que cre para registrarme, estarn a disposicin del Sr. Presidente cuando las requiera.

http://www.ecualug.org/node/17529

2/10

3/4/2014

www.DatoSeguro.gob.ec NO es seguro | EcuaLUG

Saludos Paul
30676 lecturas Inicie sesin o regstrese para comentar blog de PaulCoyote
http://www.ecualug.org/node/17529 3/10

3/4/2014

www.DatoSeguro.gob.ec NO es seguro | EcuaLUG

Comentarios
Alguna vez se me ocurrio
Enviado por Root Bit en Lun, 2012-11-26 10:00

Alguna vez se me ocurrio hacer lo mismo, pero pense que el tema del indice dactilar ofrecia una mediana seguridad al momento de la verificacion, pero queda demostrado que no es asi. Reportaste de tu hazana a las autoridades o entes pertinentes ?? creo que es una de las formas de descargo que tendrias en caso de que te quieran acusar de "robo de identidad". There are only 10 types people in the world: Those who understand binary and those who don't
Inicie sesin o regstrese para comentar

Re: Alguna vez se me ocurrio

Enviado por PaulCoyote en Lun, 2012-11-26 10:05

Hola RootBit: Pues nada, cero seguridad. Lo ms "sentido comn" deba ser completar el registro en persona. Acerca de reportarlo a las autoridades, por la misma razn lo hice pblico. Saludos PMA
Inicie sesin o regstrese para comentar

vaya la verdad yo desde q

Enviado por falcom en Lun, 2012-11-26 11:56

vaya la verdad yo desde q escuche el concepto de datoseguro donde se almacenara toda mi info.... ups, me dije jamaz usar algo asi, las respuestas tu me las has dado, por mas seguridades q les coloques siempre habran bugs o inconsistencias de registros como explicas en tu caso..otra cosa y que es posible es el acceso a la db y ... puff se acabo datoseguro...
Inicie sesin o regstrese para comentar

Re: vaya la verdad yo desde q

Enviado por PaulCoyote en Lun, 2012-11-26 12:13

Solo hay dos cosas seguras en esta vida: los impuestos y la muerte. Saludos PMA

http://www.ecualug.org/node/17529

4/10

3/4/2014

www.DatoSeguro.gob.ec NO es seguro | EcuaLUG

Inicie sesin o regstrese para comentar

Y la privacidad?
Enviado por lenchanteur en Lun, 2012-11-26 13:59

Yo tengo una inquietud. La verdad es evidente que una gran cantidad de aplicaciones en la web tienen fallas graves de seguridad. Mi pregunta es, en nombre de esa inseguridad se puede hacer esto? Se que se hace a diario, pero es tico?, o incluso legal?, ahora que tenemos la ley de registro de datos pblicos. De lo que entiendo, an a pesar de las buenas intenciones, acceder sin permiso a la informacin privada de otro est mal, y es hasta ilegal, o me equivoco? Jos Antonio L'enchanteur

Inicie sesin o regstrese para comentar

Re: Y la privacidad?
Enviado por PaulCoyote en Lun, 2012-11-26 14:33

Hay muchas fallas en muchas aplicaciones, eso es cierto. Y arreglar esas fallas depende de los tcnicos, no de los usuarios. Entre lo legal y lo tico puede haber una gran, gran brecha, como mencionas. Es ilegal divulgar esos datos, lo cual no hice, ni siquiera de forma annima. Pero es absolutamente antitico dejar esa puerta abierta que permita a cualquier persona abusar de esa informacin. Si creaba la cuenta de Pedro Guamn, nadie hubiera hecho caso. Tena que ser la del presidente para que tomen acciones. Saludos PMA
Inicie sesin o regstrese para comentar

desde el nombre
Enviado por exlakro en Lun, 2012-11-26 16:41

Me parece que desde el nombre, Dato Seguro, muy pretencioso para mis estndares, y de hecho parece lanzar un reto. Tambin lo haba pensado, por la seguridad que desde la plataforma en si misma poda ofrecer, pero no llegu a imaginarme que en media hora uno puede llegar a tener un acceso legtimo a los datos privados de alguien ms. Me parece un buen trabajo, hay que hacerlo y que se tomen la medidas correspondientes para cerrar brechas de seguridad tan escandalosas. Saludos cordiales.

http://www.ecualug.org/node/17529

5/10

3/4/2014

www.DatoSeguro.gob.ec NO es seguro | EcuaLUG

Inicie sesin o regstrese para comentar

Re: desde el nombre

Enviado por PaulCoyote en Lun, 2012-11-26 18:32

Y que se tomen las medidas no solamente en esto, en todo. Gracias por tu inters, saludos PMA
Inicie sesin o regstrese para comentar

Paul, buen anlisis. Deberas

Enviado por Epe en Lun, 2012-11-26 20:09

Paul, buen anlisis. Deberas adems contactar al Presidente por twitter para indicarle de esto y que movilice a los de datoseguro y hagan algo serio, y que no sea en Windows! Si supieras que yo ayer vena pensando en el tema del ndice dactilar.. caramba fueron 5 horas manejando con neblina de Cuenca a Ambato y uno piensa muchas estupideces cuando viaja slo. As que dije, datoseguro tiene un problema claro, esto del ndice dactilar, porque a uno le piden continuamente copia de la cdula... y vaya qu coincidencia.. t le aciertas.\r\n\r\nY te comento, hace un tiempo v en algn lado (no recuerdo ahora pero puede ser el mismo sitio de la presidencia) donde declara sus bienes al ingresar a tomar el cargo, es un documento notariado y este documento estoy seguro est la cdula.. declaracin de bienes es no? El nmero de cdula lo podas obtener antes del cne, pues cuando te deca dnde votabas, ahi sala. Igual puede salir del senescyt cuando vas al registro de ttulos y algunos municipios en su consulta de catastro tambin te sacan el nmero de cdula. En el SRI si pones los apellidos en la consulta del ruc igual sale, el resto tu te fuiste por adivinar, cosa vlida.. pues adems piden dos numeros, en el peor escenario son 100 intentos.. y la otra es buscar copia de la cdula en algn lugar que est publicada. Con este numero de cdula incluso te puedes enterar de su estado civil yendo a www.corporacionregistrocivil.gov.ec y en servicios en lnea enterarte del nombre del cnyugue y seguir averiguando mil cosas... Lamentablemente toda esa informacin debera analizarse seriamente y no publicarse si el usuario no lo solicita, es bien grave, porque luego pueden haber muchos ms escenarios preocupantes. Si se fijan, la informacin est aparentemente dispersa, entre varios entes que a veces no tienen que ver entre s, pero alguien con inters puede obtenerla. Saludos epe EcuaLinux.com +(593) 9 9924 6504 Servicios en Software Libre

http://www.ecualug.org/node/17529

6/10

3/4/2014

www.DatoSeguro.gob.ec NO es seguro | EcuaLUG

Inicie sesin o regstrese para comentar

Re: Paul, buen anlisis. Deberas

Enviado por PaulCoyote en Mar, 2012-11-27 00:00

PMA
Inicie sesin o regstrese para comentar

siguiente

ltima

Navegacin
Blogs Usuarios por puntos Contenido reciente Agregador de canales de noticias
Anuncios Google

Seguro jubilacion Certificado seguro Seguro trabajo

Inicio de sesin
Nombre de usuario *

Contrasea *

http://www.ecualug.org/node/17529

7/10

3/4/2014

www.DatoSeguro.gob.ec NO es seguro | EcuaLUG

Crear nueva cuenta Solicitar una nueva contrasea Iniciar sesin

Buscar
Buscar

Encuesta
Con cunta frecuencia entras a nuestro sitio EcuaLug? Muuuuchas veces al da 10% Varias veces al da 13% Una vez al da 3% Algunas veces por semana 33% Una vez a la semana 5% Varias veces al mes 8% Una vez al mes 5% Algunas veces al ao 10% Esta es la primera vez que entro 13% Total de votos: 39
Encuestas anteriores

Temas activos
http://www.ecualug.org/node/17529 8/10

3/4/2014

www.DatoSeguro.gob.ec NO es seguro | EcuaLUG

Restringir acceso a pginas https con proxy transparente Ayuda con repo local Abrir puertos Problema con squid proxy Recuperar archivo sobreescrito openKM busca un colaborador en Ecuador Wine y NT 4.0 Replicar dns a servidor secundario Ms

Tu Casa en Ecuador
mutualistapich Vivienda con financiamiento Casas, Departamentos, Terrenos

Licenciatura por Internet Paquete Orlando Magico Oficinas Virtuales Quito

Ultimos Kernel
next-20140403: linux-next 3.12.16: longterm next-20140402: linux-next 3.2.56: longterm
http://www.ecualug.org/node/17529 9/10

3/4/2014

www.DatoSeguro.gob.ec NO es seguro | EcuaLUG

next-20140401: linux-next 3.13.8: stable 3.10.35: longterm next-20140331: linux-next 3.4.85: longterm 3.14: mainline next-20140328: linux-next next-20140327: linux-next Ms

Quin est conectado

Hay actualmente 0 usuarios conectados.

Usuarios nuevos
Walter Rocha osvaldo samael renzo_jeri watsulla

SchoolForge

Esta obra est licenciada bajo una Licencia Creative Commons Atribucin-No Comercial-Compartir Obras Derivadas Igual 3.0 Ecuador.

http://www.ecualug.org/node/17529

10/10