Proyecto de ley para la protección de datos “privados”

delitos informaticos

En Chile lanzaron un proyecto de ley para la protección de datos personales, luego de diversos hackeos ocurridos, donde se “publicó” información de millones de chilenos desde sistemas de información del servicio electoral y junaeb, entre otros. Lo que quieren hacer con éste proyecto de ley, es “aumentar las sanciones a quienes resulten responsables” y “entregarles las facultades a las distintas entidades afectadas para que puedan dar garantías“. Irónicamente, la ley sólo protegerá a quienes hagan mal su trabajo y no a los afectados, las entidades públicas que no sepan proteger la información privada de las personas, tendrán ahora una ayuda desde el gobierno para que nadie pueda hacer públicas sus fallas y, por ende, las personas afecetadas jamás sabrán que sus datos son públicos.

Una de las preguntas que me hago es ¿Si son privados los datos, entonces por qué son de acceso público?
Existen muchas entidades públicas y privadas que simplemente no protegen la información, formularios sin captchas, acceso a información mediante el RUT o con usuarios y password basadas en el rut. Para los que no saben, el RUT cumple con un patrón y generar millones y millones de RUT es tan fácil como sumar dos números.

En un principio, fue la ” base de datos” del Servicio Electoral (servel) la que fue publicada, sin embargo, era posible acceder a ella sólo con el RUT. Cualquier persona puede probar distintas combinaciones de números e ir recolectando información manualmente, una persona con conocimientos más avanzados podrá crear un script que automatice ésta tarea de tal forma que recopile la información más rápido.

< ?
function valida_rut($r)
{
        $r=strtoupper(ereg_replace('\.|,|-','',$r));
        $sub_rut=substr($r,0,strlen($r)-1);
        $sub_dv=substr($r,-1);
        $x=2;
        $s=0;
        for ( $i=strlen($sub_rut)-1;$i>=0;$i-- )
        {
                if ( $x >7 )
                {
                        $x=2;
                }
                $s += $sub_rut[$i]*$x;
                $x++;
        }
        $dv=11-($s%11);
        if ( $dv==10 )
                $dv='K';
        if ( $dv==11 )
                $dv='0';
        if ( $dv==$sub_dv )
                return true;
        else
                return false;
}
$rut = 10000000;
$i = 1;
$dv = 0;
for($i = $i; $i < = 11; $i++)
{
        if($i == 11) $dv = "k";
        else $dv = $i;
        for($rut = $rut; $rut <= 20000000; $rut++)
        {
                $full_rut = $rut."-".$dv;
                if(valida_rut($full_rut) )
                        print $full_rut."\n";
        }
}
?>

Con este script generamos RUTs consecutivos con su respectivo dígito verificador, es decir, números RUT válidos.

[…]
10004366-1
10004383-1
10004397-1
10004402-1
10004416-1
10004433-1
10004447-1
10004450-1
10004464-1
10004478-1
10004481-1
10004495-1
10004500-1
10004514-1
10004528-1
10004531-1
10004545-1
10004559-1
10004562-1
10004576-1
10004593-1
10004609-1
[…]

Otro hackeo conocido fue el que se le ha hecho a la Junaeb en distintas oportunidades, tambien tiene relación con este tema, ya que es información obtenida en base al rut de las personas. Existen muchas páginas dónde podemos encontrar información “personal” ingresando sólo éste nombre, por ejemplo el de la autopista vespucio norte, que con sólo tener el rut es posible obtener los partes, patente y cuanto vehículos tiene una persona. Pueden ver el artículo que escribió Ivan al respecto: Bug en sitio de empresa avn.cl, Avenida Vespucio Norte.

Yo me sigo preguntando, ¿Si mis datos “personales” son “privados”, entonces por qué mierda son accesibles para cualquier persona?

El proyecto de ley que se está gestando busca aumentar las sanciones a las personas que hagan pública la información que, con mucho esfuerzo, recopilamos, pero lo que yo busco es que las sanciones sean para las personas que NO cuidan esta información, por negligencia. Deberían crear estándares para el manejo de información personal y privada de las personas y la gente que esté a cargo de éstos estándares deben ser personas altamente capacitadas.

Hace unos meses escribí sobre cómo obtener información en NIC Chile, pudiendo crear una base de datos nombre-rut. NIC Chile se descartó y dijo que correspondía a una caracteristica y no a un error, ni si quiera fueron capaces de poner captcha al sistema de registro de dominios.

4 comentarios

  1. Lo que mas me impresiona de todo esto que se sigue viendo el problema, de mala manera, y con esto no quiero abogar por los hacker ni menos ponerme una bandera de lucha a favor de ellos pero como tu decías Zerial este proyecto de ley, se sancionara mas a las personas que os hacer un hackeo a una entidad, pero por qué los informáticos no hacen bien su pega?? o sea como tu dices hay muchas entidades que con solo teniendo el Rut tu puedes tener los datos completos de un individuos… el señor Carlos Bianchi porque no hace algo mejor y se preocupa de regular la seguridad informática de este país … ya que creo yo que acá la culpa no es del: ” El chancho si no del que le da el afrecho” seguimos tratando de quedar bien con todos.

    Es similar a las leyes en este país … los políticos y mas aun los candidatos presidenciales siguen pidiendo mas y mas pacos carabineros, si las leyes siguen siendo blandas y no penalizan bien. Creo que acá se debe de ver por una pega mejor de los informáticos y después ver que pasa con los hackers, ya que a todo esto han pillado a alguno????

    ….

  2. @Sir_Demitry: Yo no me encofaría en atacar a quienes proponen proyectos de ley, me enfocaria en realizar acciones para oponernos. Esa persona que propuso esta ley, no va a tomar en cuenta lo que nosotos decimos, porque no lo piensa asi, entonces tenemos que actuar nosotros, no esperar que el lo haga.

  3. Te encuentro la razon el tema es que no atacar pero hacer lobi con genete que conosca el tema y explicar que el problema no pasa por castigar mas a los que haces los hackeos ( o sea endurecer mas las sanciones) si no que fiscalizar mas los servicios de seguridad hacer mejores auditorias de los servicios… mira un pincelada de lo que te digo leer esto… http://www.radiobiobio.cl/2009/12/07/resultados-de-investigacion-por-hackeo-a-junaeb-se-conoceran-esta-semana/

    Es del 7 de dicimebre …. y ya estamos a 26 que paso con todo esto?

  4. Interesante respuesta, una vez que indican que es una característica y no un error están reconociendo que el uso de dicha característica no es un acto malicioso y por tanto que la explotación del mismo es un uso legitimo y autorizado. Es como dispararse en el pie.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.