Un nuevo informe hace un compendio de las vulnerabilidades encontradas y reportadas responsablemente por el Laboratorio de seguridad y privacidad digital K+LAB de Karisma durante el año 2020.
Este artículo fue publicado originalmente en web.karisma.org.co el 27 de enero de 2021.
En el presente informe se hace un compendio de las vulnerabilidades encontradas y reportadas responsablemente por el Laboratorio de seguridad y privacidad digital K+LAB de Karisma durante el año 2020.
Como es bien sabido, este año estuvo marcado por la pandemia. En Colombia tanto el gobierno nacional como los de las regiones, enfocaron parte de sus esfuerzos en crear soluciones digitales como complemento a los controles establecidos para manejar la emergencia. Al margen de si estas soluciones tecnológicas fueron efectivas o no, el hecho de que giren en torno a a la recolección masiva de datos personales y de datos generados por los dispositivos (como la localización en los celulares) hizo que durante este período de tiempo el K+LAB movilizara sus esfuerzos para hacer veeduría ciudadana a dichas aplicaciones o soluciones tecnológicas. El objetivo era verificar que el tratamiento de los datos recolectados se hiciera de manera responsable y segura.
Esta veeduría, realizada usando técnicas no intrusivas y de reconocimiento pasivo, permitió encontrar vulnerabilidades que ponían en alto riesgo los datos de las personas usuarias, además dejó ver la improvisación y el afán en el despliegue de estas soluciones, la falta de auditorías y el bajo control de calidad en los procesos de desarrollo.
Además de la revisión de las aplicaciones y tecnologías desarrolladas por el Estado en el contexto de la pandemia, el K+LAB encontró una grave vulnerabilidad en la página de Migración Colombia que se suma a la de la página de la Cancillería, reportada por el portal La Silla Vacía el 15 de enero de 2021 y que demuestra debilidades que requieren atención integral inmediata en los sistemas conexos a las relaciones exteriores del Gobierno Colombiano.
Este informe solo se enfoca en las vulnerabilidades encontradas en el software auditado, sin embargo, los ejercicios e investigaciones hechas por el K+LAB muestran también varios casos donde el uso de la tecnología se hizo de manera irresponsable e ingenua, despreciando la necesidad de transparencia e información, la privacidad de las personas usuarias y los parámetros científicos para hacer rastreo de contactos. En esta línea, El K+LAB de Karisma hizo análisis al sistema de rastreo con identificadores de publicidad del departamento de Antioquia y a las “notificaciones de exposición” hechas por la alcaldía de Bogotá a través de publicidad geo referenciada en Facebook e Instagram.
En todos estos casos, el K+LAB hizo reportes responsables de las vulnerabilidades encontradas a las entidades encargadas de los desarrollos tecnológicos, enviando informes completos, socializando los hallazgos y esperando la corrección de los problemas encontrados antes de publicar reportes generales donde no se dan detalles de las vulnerabilidades encontradas.
Estos reportes y estos ejercicios están hechos con la idea de propiciar un ecosistema con rutas claras para que personas investigadoras de seguridad digital, y en principio cualquier persona, puedan reportar vulnerabilidades o amenazas que pongan en riesgo tanto la infraestructura tecnológica como los datos de las personas que interactúan con los sistemas digitales del Estado. Cómo lo explicamos en un informe en 2019, queda demostrado que contar con una ruta de coordinación de vulnerabilidades es necesario, importante y útil en el manejo y la respuesta a incidentes de seguridad informática en el país. El Gobierno debe redoblar esfuerzos para crear esta ruta y alentar su uso para el bien de toda la población.
