Nadie lo escuchó: Especialista en ciberseguridad afirma haber descubierto hace casi dos años vulnerabilidad en sistema de Clave Única

El pasado jueves 8 de octubre, una brecha de seguridad permitió a uno o más desconocidos, acceder a los servidores de la página web de Gobierno Digital, sin que oficialmente, hasta el momento se conozca qué tipo de información fue sustraída.

“Es una persona que ingresó y que hizo sus comentarios ofendiendo desde el alcalde de Valparaíso hasta el otro extremo del abanico de la política. Tuvo acceso al sitio, y eventualmente pudo haber tenido acceso a este almacenamiento de cifras y datos complejos”, dijo hoy el ministro Secretario General de la Presidencia, Cristián Monckeberg.

“Podría llegar a las Clave Única después de un trabajo cuesta arriba. Nosotros no almacenamos claves únicas, sino que cifras encriptadas”, aseguró, agregando que no tenían conocimiento real de si el atacante se llevó información. “y eso estamos investigando por la Fiscalía”, indicó.

Pero el hecho, que obligó a la autoridad a disponer de un cambio de clave para los usuarios, ya había sido advertido por expertos en informática hace algunos días antes de ser revelado de forma oficial. En uno de los mensajes se daba a conocer la posesión de “cientos de gigabytes de datos de comisaría virtual, y el código fuente de la clave única”.

Uno de ellos es Fernando Lagos, especialista en ciberseguridad y director de NIVEL4, quien afirma que además, en enero de 2019 -hace casi dos años- ya había alertado acerca de estas vulnerabilidades al Equipo de Respuesta Ante Incidentes de Seguridad Informática, sin obtener respuesta.

“La persona que estaba a cargo intentó silenciarme”, afirma. "Me dijo que se había realizado una encuesta a la gente en sucursal haciendo trámites, en distintas regiones, y se les consultó por qué iban a la sucursal y no hacían los tramites online. La gente respondió que no confiaban en la plataforma”.

“Entonces, si yo publicaba cosas contra la Clave Única, iba a generar más desconfianza en las personas”, añade. “Después me citó a una reunión y me dejó plantado”.

“Lo que quise reportar en ese momento tenía que ver con debilidades y vulnerabilidades de la Clave Única, no necesariamente algo que permitía tomar control de los servidores, pero sí tomar control de cuentas”, dice a La Tercera.

Aún así, Lagos evita referirse al nuevo episodio, señalando que pudo tratarse de una brecha distinta: “Si bien esto ocurrió hace casi dos años, los sistemas ya no son los mismos así que no puedo asegurar que se hayan aprovechado de la misma vulnerabilidad”, sostiene.

“Prefiero no mencionar de qué se trataba el problema, por si aún persiste. Es grave porque afecta directamente al problema que quiere resolver la Clave Única. Quieren que ésta se ocupe para hacer todo tipo de tramites usando un solo login, con el fin de facilitar las cosas; pero también le facilitan las cosas a los delincuentes, porque si logran obtener una clave, sirve para todos los servicios públicos. Entonces, la falla es grave”, explica Lagos, que cuenta con una década de experiencia en el área.

“Encontré la falla sólo investigando. Con experiencia y conocimientos en programación y en seguridad resulta super fácil encontrar cosas de ese estilo. Después de más de 10 años dedicado a encontrar fallas en sistemas se hace todo más sencillo”, agrega.

En relación a la información que pudo ser obtenida por los atacantes, este jueves, el ministro Monckeberg indicó que “no existe una base de datos en que estén disponibles las contraseñas de Clave Única de los chilenos”, ya lo que se almacena es un “código complejo o cifrado no reversible, que se genera cada vez que se enrola a un usuario”.

“No es posible utilizar una fórmula o función para obtener la contraseña original, a partir de este código cifrado”, añadió.

En este sentido, Fernando Lagos explica que estos datos efectivamente están cifrados, “como si fuese un baúl, y el baúl tiene una llave. En este caso, se llevaron el baúl, pero no tienen la llave para abrirlo”, asevera.

Aún así, hace algunas horas una cuenta de Twitter permitió descargar el código fuente de sistema, bases de datos, información de cuentas VPN, cuentas de usuarios de sistemas y plataformas del Gobierno Digital, según explica NIVEL4 en su sitio web.

Lagos menciona que “en los archivos publicados tras el ciberataque a Gobierno Digital hay números de pasaporte y datos personales (nombre, dirección, celular, email) asociados a dicho número de pasaporte. En rigor, dada esta divulgación el Gobierno debería volver a emitirlos”.

“Lo que pasó con Gobierno Digital no es un ataque a Clave Única y no afecta a Clave Única. El ciberataque afecta a una serie de instituciones públicas que se interconectan, exponiendo tokens, credenciales, certificados y otros mecanismos de autenticación. De acuerdo a un análisis que estoy realizando, hay al menos cinco instituciones afectadas aparte de Gobierno Digital”, sostiene Lagos.

En tanto, el ministro Monckeberg indicó que "están las IP (identificador los dispositivos conectados a internet) detectadas. Esa información está en manos de la Fiscalía y se está investigando”.