La utopía del sistema “invulnerable”

En medio de la polémica y la incertidumbre suscitadas por las denuncias de manipulación de identidades para registro de militantes políticos, el director del Servicio General de Identificación Personal (SEGIP), Marco Cuba, salió a la palestra para asegurar que la base de datos que maneja esa entidad es “invulnerable”.

Visto desde el ámbito de la seguridad informática, las declaraciones del funcionario son, cuando menos, temerarias. Ni siquiera gigantes como Google, Facebook o el Pentágono que se toman muy en serio la seguridad de la información en sus procedimientos del día a día, tendrían la osadía de gritar a los cuatro vientos que sus sistemas son invulnerables. Las fugas de información ocurren “hasta en las mejores familias”.

En octubre de este año, la red social de Google Plus fue cerrada de forma definitiva, entre otras razones debido a una fuga de información que ponía en peligro los datos de medio millón de usuarios (nombre de usuario, dirección de correo, foto de perfil, fecha de nacimiento), datos que fueron expuestos a los desarrolladores externos.

En el caso de Facebook, en septiembre se descubrió una falla de seguridad que afectó a casi 50 millones de cuentas de usuarios. La empresa tomó medidas para resolver el problema y hasta dio aviso a la policía. Como resultado de esa brecha de seguridad, alrededor de 90 millones de personas tuvieron que volver a iniciar sesión en Facebook.

En cuanto al Pentágono, el organismo de defensa de los Estados Unidos, podemos mencionar lo ocurrido en septiembre de 2017, cuando una serie de datos clasificados quedaron expuestos por error en un servidor de nube pública no segura. La información se dejó en un servidor de almacenamiento de Amazon Web Services, y es probable que los datos hayan sido accesibles para cualquier persona en Internet durante años. Los archivos incluían detalles confidenciales sobre el sistema de inteligencia de campos de batalla, así como claves privadas y contraseñas cifradas que podían usarse para acceder a otros sistemas en el Pentágono.

Con respecto a las instituciones públicas nacionales, el panorama no es nada alentador. Basta recordar que el año 2015, al menos 23 páginas web del Estado boliviano fueron vulneradas. Entre ellos, los portales electrónicos de la Policía Boliviana y la Armada fueron inhabilitados por un grupo de ciberactivistas chilenos autodenominados “Chilean Hackers”. En ambos casos se sustituyó la imagen institucional por un cuadro de bandera chilena y el mensaje “Viva Chile… Nunca tendrán mar (sic)”.

Por otro lado, un informe elaborado el año 2015 por el Departamento de Cooperación y Observación Electoral (Deaco) de la Secretaría de Asuntos Políticos de la Organización de Estados Americanos (OEA), reveló que el Padrón Electoral Biométrico del país no es confiable, por ser vulnerable al hackeo informático y manipulación de la información, debido principalmente a la caducidad del sistema operativo Windows XP en que estaba almacenado. En el mismo informe, la OEA realizó otras 84 recomendaciones y hallazgos.

¿Quién certifica que la información que administra el Segip es “invulnerable”? Es importante recalcar que no existe un sistema 100% seguro, es una utopía. Incluso si el día de hoy lo fuera, puede que mañana ya no tanto, porque el software sobre el cual funciona y con el cual interactúa, está en constante evolución y las versiones antiguas van quedando desprotegidas, pues cientos de miles de investigadores de seguridad, sea a título personal o bajo financiamiento de empresas privadas o incluso Estados, están constantemente buscando brechas de seguridad. La cadena de seguridad de un sistema es tan fuerte como su eslabón más débil que, como siempre, son los usuarios.

El autor de ingeniero y docente universitario.