Con el fin de informar a las autoridades chilenas sobre una falla de seguridad en sus sistemas, uno de los administradores del sitio web Zerial.org, de nombre Fernando, publicó hoy un post en su blog que muestra al público general un error importante en un software del Gobierno de Chile, el cual da acceso a datos de instituciones como el Servicio Nacional de la Mujer, Subsecretaría de Telecomunicaciones, Ministerio del Trabajo, Fondo Nacional de Salud (FONASA), entre varios otros.
PUBLICIDAD
La vulnerabilidad tendría lugar en un programa de código abierto, distribuido de manera gratuita por el Ministerio Secretaría General de Gobierno (SEGPRES), el cual fue instalado en el marco de la Ley 20.285, más conocida como la “Ley de Transparencia”, aprobada en 2008.
Según publica Fernando en su blog, la vulnerabilidad permite al atacante “tomar control del servidor subiendo shells remotas gracias a un upload bypass, acceder a información confidencial como usuarios y pass de la base de datos, detalles de las solicitudes realizadas y en algunos accesos accesos a otras bases de datos que existan en el mismo servidor”. Esto sería posible desde el momento mismo de la instalación del software en los ministerios y entidades gubernamentales que ocupen este programa, por lo que los datos se encontrarían vulnerables desde hace varios años.
También apunta que, si bien recibió respuesta con cierto grado de interés por parte de los encargados, éstos lo habrían hecho sólo por cumplir.
“…Un amigo me comentó que en Junio del 2014 había enviado un reporte de vulnerabilidades del mismo sistema SGS. Muchas de esas vulnerabilidades coincidían con las que yo envié… La respuesta que le dieron a el fue: ‘Muchas gracias por el reporte, estoy informando al equipo responsable para que realicen las labores correctivas’. La misma respuesta que me dieron a mi”.
Actualización (19:15 horas): el gobierno de Chile, mediante la Unidad de Modernización y Gobierno Electrónico del Ministerio Secretaría General de la Presidencia nos envía su postura.
Ante dicha información, que da cuenta de una vulnerabilidad del Sistema de Gestión de Solicitudes (SGS), que sirve para dar cumplimiento a la Ley número 20.285 sobre Acceso a la Información Pública, comunicamos lo siguiente:
· Se ha dado alerta a todas las instituciones que potencialmente podrían verse afectadas por la vulnerabilidad para que dejen de utilizar el software e incluso para que bajen el SGS.
· Mientras el SGS no esté operativo, quienes requieran realizar solicitudes de acceso a información pública, lo podrán realizar por medio de una carta, de un formulario en papel, o bien a través de un correo electrónico que los servicios públicos habilitarán extraordinariamente para dar cumplimiento a la Ley N° 20.285.
· Hemos comenzado inmediatamente a evaluar una solución de largo plazo que se haga cargo de los problemas hoy presentes, y que a la vez entregue un mecanismo mejor para que la ciudadanía pueda realizar solicitudes de información.