¿Espionaje informático en el Poder Judicial?

Información Importante Sobre el Contenido

Estas accediendo al contenido antiguo del blog. Este artículo "¿Espionaje informático en el Poder Judicial?" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.

Según una noticia publicada en Biobio, se estaría investigando un hecho de “espionaje informático” que afectó al Poder Judicial. El título suena llamativo y pareciera que hay hackers y mucha gente maligna detrás del hecho. La noticia hace referencia a la extracción masiva de información desde el portal público del poder judicial, sin embargo, tengo mis dudas sobre si realmente se trata de un tema de “espionaje” o simplemente análisis masivo de información.

La palabra espionaje es llamativa, pero siempre es referente a información que no es de acceso público. La palabra se define como:

Se denomina espionaje a la práctica y al conjunto de técnicas asociadas a la obtención encubierta de datos o información confidencial.

La noticia indica que se detecto un software que extrae de forma masiva la información relacionada a las causas civiles, penales, laborales, etc. Esta información se puede acceder de forma anónima desde un navegador web. Entonces, que alguien automatice esta tarea podría ser considerado un delito o más bien, podría ser considerado un acto de espionaje? Desde mi punto de vista, todo va a depender para el fin que se utilice la información.

¿Hackers, usuarios maliciosos y espionaje informático?

Para programar un crawler o un scrapper, no hace falta ser un experto programador o un hacker avanzado, simplemnte, se necesita entender como funciona un sistema web. Hoy en día automatizar una tarea de estas es tan sencillo como abrir las herramientas de desarrollador y presionar “copiar como cURL”, posteriormente, ejecutar muchas veces el comando e ir iterando los valores que se desean. Un desarollador que está acostumbrado a programar APIs, aplicaciones móviles o web, conoce perfectamente las herramientas que permiten analizar una petición y poder replicarla.

Según wikipedia

Web scraping es una técnica utilizada mediante programas de software para extraer información de sitios web. Usualmente, estos programas simulan la navegación de un humano en la World Wide Web ya sea utilizando el protocolo HTTP manualmente, o incrustando un navegador en una aplicación.

Haciendo un recorrido rapido por Github, encontramos varias referencias al poder judical.

Como pueden ver, existen “scrapers” o “crawlers” para extraer esta información, programados aparentemente por personas que no tienen un fin malicioso, sólo con el hecho de aportar a la comunidad.

Al analizar estos crawlers, se puede verificar que no explotan ningun tipo de vulnerabilidad. Simplemente simulan el comportamiento de un usuario normal, automatizan dicha tarea y finalmente guardan el resultado.

Estos scripts son de acceso publico.

Se detectó que se estan realizando hasta 300 request por segundo y desde diferentes direcciones IP, lo que podría llevar a concluir que “alguien” está extrayendo la información de forma masiva con un fin distinto a la que está publicada. Esto podría considerar que se está abusando de la plataforma.

Recordemos que los motores de busqueda como Google, Yahoo!, Bing, etc tambien hacen crawling. Muchas veces se indexa contenido confidencial.

¿Cómo prevenir este tipo de ‘ataques’?

Existe un mecanismo que ya todos conocemos y se llama “Captcha”. El captcha no es un elemento para molestar a los usuarios, sino que previene este tipo de conductas. El Captcha es capaz de distinguir entre un bot o un humano.

Como mencioné al comienzo, “espionaje” puede ser cuando alguien obtiene algun tipo de información de forma encubierta o bien cuando la información está catalogada como confidencial. Creo que la información que está en Poder Judicial no es privada y al parecer tampoco se está realizando de forma encubierta, entonces… Podría llamarse espionaje informático?

Mi punto de vista es netamente técnico, puede ser que desde el punto de vista legal si pueda ser considerado. Por otro lado, me baso netamente en lo que aparece en los medios, no tengo ninguna fuente directa para poder determinar especificamente si la información que descargaron es confidencial o no.

Finalmente, debo decir que este tipo de scripts publicados en Github, llevan mas de 3 años al alcance de cualquiera. Creo que es tiempo suficiente para haber aplicado medidas de mitigación antes que ocurriera esto.

 

Información Importante Sobre el Contenido

Estas accediendo al contenido antiguo del blog. Este artículo "¿Espionaje informático en el Poder Judicial?" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.

3 comentarios

  1. Mégas Aléxandros

    agosto 2, 2018 a las 8:09 pm

    Bastante interesante su publicación. Simplemente mencionar que hay casos en los que la información es reservada al publico (terceros ajenos a la causa), por razones de privacidad de los intervinientes y su seguridad, esto lo podemos ver en causas de familia o penales, por ejemplo, que si bien puede existir cierta información publica, el detalle de las causas es reservada. Posiblemente si se tiene acceso a esta información reservada de este tipo de causas si se podría hablar de espionaje o hacking.

    Ahora si se lograra vulnerar y tener acceso a las causas de arbitraje entre privados .. uff, una maravilla de la que realmente se apreciaría se compartiera! jajaja..
    Gracias por el aporte,
    saludos

  2. Hola,
    Buen articulo , solo comentar que aparentemente si se estaría incurriendo en un delito, independiente que sea un portal de acceso publico, claramente no corresponde a “Espionaje”.
    Según lo que indica la ley 20.886
    http://www.tramitacionelectronica.cl/ley-num-20-886/
    Articulo 2.C
    “Se prohíbe el tratamiento masivo de los datos personales contenidos en el sistema de tramitación electrónica del Poder Judicial, sin su autorización previa. La infracción cometida por entes públicos y privados a lo dispuesto en este inciso será sancionada conforme a la ley Nº 19.628”
    Según entiendo esto esta dirigido a datos personales de las personas naturales (por lo cual la información puede ser reservada al publico (terceros ajenos a la causa), por lo cual creo en parte estaría penado.

    En fin de todas maneras concuerdo que se deberían haber tomado medidas en el portal del poder judicial para evitar esto.

    Saludos

Los comentarios están cerrados.