|
Página 2 de 2 Grave problema de seguridad divulga información privada de todos los ciudadanos argentinos a través de la web
ITMaster Professional Training (www.itmaster.com.ar) ha detectado un grave problema de seguridad que permite que cualquier persona que posea una cuenta bancaria en una red bancaria pueda consultar cuánto gana cualquier otro argentino, así como también consultar los aportes provisionales que realiza, ver el detallede deudas impositivas e, incluso, poder publicar una declaración jurada a nombre de otra persona.
La vulnerabilidad fue detectada por un error de programación en un sitio web, cuya solución es muy simple y es parte de las técnicas de aseguramiento de la información y de programación segura que los profesores dictan en la carrera Experto en Seguridad Informática y en el Master en Seguridad de Aplicaciones Web.
La vulnerabilidad fue informada en forma inmediata a los sitios web afectados por los medios indicados en sus respectivos sitios, pero no hemos recibido respuesta ni hemos detectado la solución, por lo que creemos necesaria la difusión inmediata de este grave problema que vulnera los datos privados de todos los argentinos.
Se hace necesario a tal fin concientizar a todos los ciudadanos, instituciones y empresas que poseen información digital sobre la necesidad de la implementación de políticas de seguridad y auditorias del software, herramientas y hardware que trabaja con información sensible de las personas con el fin de garantizar la privacidad e integridad.
"La vulnerabilidad existente se debe a un error muy simple (pero con graves consecuencias) en la programación de la página web en cuestión. Es un error del programador, pero mucho más grave lo es de quienes auditaron y aprobaron el código del software que dicha persona programó, más teniendo en cuenta que se trata de un servicio público con información de todos los argentinos", comenta Maximiliano Firtman, director del instituto, profesor de la carrera Programador Web y reciente finalista en los premios a la Inteligencia Argentina "Sadosky 2006".
QUE SE PUEDE HACER SIN SER LA PERSONA FÍSICA CONSULTADA
De cualquier persona que sea empleado, se puede ingresar al servicio "Mis Aportes" y consultar los sueldos de los últimos años, aportes realizados, deudas provisionales y todos los últimos empleadores disponibles.
Por otro lado, de cualquier persona que sea monotributista o autónoma, se pueden presentar declaraciones juradas y pagos ante la AFIP a nombre de esa persona, solicitar un plan de facilidades de pago, consultar deudas provisionales o consultar todos los pagos que ha realizado cualquier contribuyente desde 1993 hasta la fecha.
ACERCA DEL PROCEDIMIENTO
El procedimiento no requiere de conocimientos de hacking, ni de técnicas extrañas, sino simplemente requiere utilizar cualquier navegador de internet y hacer un cambio muy simple que puede ser realizado por cualquier persona con un mínimo conocimiento de Internet. El procedimiento no es considerado una técnica de hacking porque incluso puede llegarse a realizarse por un error involuntario del usuario.
El único requisito es poseer una caja de ahorro o cuenta en un banco que opere en Internet en una de las redes de bancos. La vulnerabilidad se encuentra en la interconexión de los sistemas bancarios con el sistema de la AFIP, y permite conectarse con los servicios online de la AFIP sin necesidad de tener la clave fiscal de la persona, clave digital que cada ciudadano registrado en la AFIP posee.
La empresa Ikusec, auspiciante de la carrera de Seguridad Informática, expresó a través de su director Sebastián Firtman: "la seguridad informática no es una técnica, sino que es una manera de hacer las cosas en forma correcta y la vulnerabilidad encontrada no es mas que la muestra de que falta un largo camino para concientizar a las personas, sobre el peligro que es en este caso, programar sin una etapa de revisión de seguridad".
Como lo hemos expresado en las comunicaciones hacia los responsables de los sitios vulnerables, quedamos a disposición de los interesados para ofrecer toda la información requerida acerca del procedimiento y cómo solucionarlo para evitar este tipo de problemas en el futuro. No pretendemos asustar a la gente ni desalentar el uso de este tipo de sistemas, sino que esperamos ayudar a que la información digital en Argentina siga existiendo y funcionando, pero con la seguridad e integridad que este tipo de información merece según normas internacionales.
ACERCA DE ITMASTER
ITMaster Professional Training (www.itmaster.com.ar / www.itmaster.com.mx / www.itmaster.es) es un instituto de capacitación presencial y a distancia inaugurado en febrero de 2006 por el mismo grupo español que tiene a su cargo desde hace ocho años uno de los institutos líderes en educación a distancia en Iberoamérica: CampusDigital.com. Actualmente, ITMaster, cuenta con 9 carreras en funcionamiento, entre las que se destacan Programador Web, Seguridad Informática y la exclusiva carrera Desarrollador Mobile, para desarrollar aplicaciones, juegos y servicios para teléfonos celulares y dispositivos móviles.
Para solicitar mayor información y/o entrevistas:
Contacto de Prensa:
Esta dirección de correo electrónico está protegida contra los robots de spam, necesita tener Javascript activado para poder verla
Contacto Telefónico: (011) 5032 0077
 agregar a favoritos (73) |  Cite este artículo en su sitio | Views: 5234
Solo los usuarios registrados pueden agregar sus comentarios.
Por favor, vaya a login, o regístrese. Powered by AkoComment Tweaked Special Edition v.1.4.6
AkoComment © Copyright 2004 by Arthur Konze - www.mamboportal.com
All right reserved
|
