Uso de cookies

La Silla Vacía usa Cookies para mejorar la experiencia de nuestros usuarios. Al continuar navegando acepta nuestra política.

listo

Por Tatiana Duque · 15 de Enero de 2021

7584

7

Hace unos minutos la Cancillería informó que en las últimas horas “se identificó una falla en el sistema de información de la plataforma de visas electrónicas colombianas”. No dice desde hace cuánto tiempo existía ese problema, que hizo vulnerables los datos de al menos 550 mil extranjeros que han tenido o tienen visa vigente.

En su comunicado, la Cancillería agrega “desde el momento en que se conoció el problema, la Dirección de Información y Tecnologías de la Cancillería ha trabajado para solucionar el impase y quedará superado a la mayor brevedad.” Y es muy posible que se haya enterado solo en las últimas horas.

La Silla supo que desde ayer jueves, por una denuncia que un extranjero hizo por correo a la funcionaria encargada, el Ministerio recibió información de la falla. El grave bache de seguridad se comenzó a arreglar hoy, luego de que La Silla Vacía le avisó directamente por chat al vicecanciller Francisco Echeverri.

A medio día de hoy, Echeverri nos dijo que no sabía de la falla y que alertaría a sus funcionarios. Minutos después la directora de asuntos consulares y servicio al ciudadano de la Cancillería, Fulvia Benavides, nos dijo que esta tarde la dirección tecnológica estaría arreglando el problema, que fue básicamente lo que después dijo el comunicado de su Ministerio.

No era una falla menor. 

Durante un tiempo indeterminado (días, semanas o meses), los datos estuvieron expuestos y según la ley colombiana deberían estar protegidos y no ser divulgados sin autorización. Además, una persona sin conocimientos de hackeo se dio cuenta antes de que el mismo Gobierno colombiano lo hiciera.

Esa situación muestra una débil infraestructura en seguridad digital del Gobierno Duque, quien en campaña y en su mandato, ha tratado de implementar políticas para la digitalización de trámites, lanzó una app en pandemia fuertemente criticada por expertos por la opacidad del manejo de los datos; y en sus discursos habla del ‘internet de las cosas’.

También revela una grieta de seguridad nacional, justo cuando Colombia es polo de espías e intereses geopolíticos, como lo contó Bloomberg. Según Andrés Sáenz, consultor en seguridad de Control Risks, “si esa vulnerabilidad otorga una posibilidad de tener una visa, abre la puerta para suplantar identidades e infiltrar a personas en el país”. Además, agrega Sáenz, deja mal parada a Colombia frente a los países que le confiaron los datos de sus ciudadanos.

Descubrimiento al azar

Hace dos días, un ciudadano europeo, que arrancando el año recibió su visa para trabajar en Colombia, notó una falla de seguridad en el documento virtual que le dio la Cancillería: el código QR de su visa lo redirige a un link del Ministerio que, con solo cambiarle los números finales, permite descargar las visas expedidas a otros extranjeros.

Hizo algo como esto:

 

 

El extranjero -quien pidió no ser citado porque hace poco vive en el país y no quiere tener problemas con su trabajo, ni que por denunciar el Gobierno le quite la visa- nos contó que se puso a ‘cacharrear’ el link desde su computador y se sorprendió con los resultados.

“No puedo tolerar este problema”, le escribió a La Silla, buscando denunciar la falla que exponía sus datos personales. Eso tras haber escrito un correo a Fulvia Benavides, quien nunca le respondió.

El extranjero hizo el experimento tres veces y, sin mayor problema y con mucha alarma, accedió a tres visas de otros ciudadanos extranjeros, que no conocía: vio sus fotos, sus nombres completos, sus fechas de nacimiento, nacionalidad, número de pasaporte, la empresa en la que trabajan en Colombia y el tipo de visa para estar en el país.

Esos son los datos que están contenidos en la visa digital que es, con la cédula de extranjería, el documento de identificación de los extranjeros que residen legalmente en Colombia.

En 2020, más de 47 mil extranjeros solicitaron este permiso y, según el Dane, hay más de 900 mil extranjeros residiendo legalmente en el país (unos con visas, y cientos de miles de venezolanos con el Permiso Especial de Permanencia, PEP).

Algunos de ellos son datos protegidos por la ley de protección de datos personales, que no deben ser públicos a menos que la persona así lo decida.

La visa digital incluye un código QR que, al ser expuesto a la cámara de un celular, redirigía a un link del Sistema de Trámites Ciudadanos de la Cancillería, cuya URL (el nombre de las direcciones de páginas web) incluye los seis dígitos de la visa.

Al abrir la página aparece la visa para descargar en formato PDF.

Con el link que este extranjero alarmado le envió a La Silla Vacía, cambiamos aleatoriamente los dígitos para ver qué nos arrojaba el buscador, que tiene alojadas unas 550 mil visas.  

Encontramos al menos cien visas, la gran mayoría vigentes. Incluso encontramos las de dos menores de edad con la información de sus padres.

 

Las fallas

Hasta esta tarde esa información estuvo expuesta sin suficientes controles de seguridad.

“La situación demuestra una vulnerabilidad, porque con esa información se puede hacer un fraude, evidentemente pueden resultar cosas complicadas para el titular, como suplantación y extorsiones”, nos dijo Jorge Amarís, abogado y experto en protección de datos, quien trabajó en el servicio consular.

“Nos gastamos mucha plata en temas de seguridad para los clientes sin saber que esto podía ser posible. Es absurdo”, nos dijo un miembro de una firma de abogados que tramita las visas para empresarios extranjeros en Colombia, al consultarle de la situación, que no conocía.

Hay al menos dos fallas, según Luis Carlos Gómez y Pedro Ballesteros, expertos en tecnología informática de Jerrejerre, una empresa que presta servicios tecnológicos y de seguridad a empresas con páginas de internet, como La Silla Vacía.

La primera es que el link incluye los números consecutivos los números de las visas, lo que, para ambos, permite un problema de seguridad. “Una persona que conozca de sistemas puede instalar un programa y con un bot bajar todos los documentos”, nos dijo Gómez.

La segunda es que no exista una validación previa entre el QR y el link de ingreso. Un sistema tipo los captcha que tienen entidades bancarias y de contratación pública para que una persona indique que no es un robot tratando de acceder a los datos.

Luego de que la Cancillería nos dijera que el tema sería arreglado esta tarde, revisamos nuevamente los links. Al momento de publicar esta historia, 5:00 PM, los datos seguían disponibles. Dos horas después, la página quedó en mantenimiento.

Actualización: El sábado 16 de enero, la Cancillería informó en un comunicado que ya había superado la falla de seguridad.

Comentarios (7)

Miguel Usta

15 de Enero

0 Seguidores

Hola Tatiana buenas noches.
Esto es gravísimo, pone a dudar por nuestra seguridad en otras bases de datos como el Runt, el adress y el mismo Sisben. Incluso nos pone a dudar sobre las bases de datos del futuro.
Tatiana, deja aún más mal parado al gob.
Cada día se ve este gob mucho más light.
Para terminar, excelente artículo Tatiana, en los detalles se ve el todo.

Hola Tatiana buenas noches.
Esto es gravísimo, pone a dudar por nuestra seguridad en otras bases de datos como el Runt, el adress y el mismo Sisben. Incluso nos pone a dudar sobre las bases de datos del futuro.
Tatiana, deja aún más mal parado al gob.
Cada día se ve este gob mucho más light.
Para terminar, excelente artículo Tatiana, en los detalles se ve el todo.

Tatiana Duque

16 de Enero

26 Seguidores

Gracias por leernos Miguel.

Gracias por leernos Miguel.

mciprian

16 de Enero

0 Seguidores

Es un fallo gravisimo, que deja muy mal parados a los responsables de los sistemas informáticos de Gobierno. Por otra parte ¿No debio la Silla Vacia publicar esto DESPUÉS de haberse solucionado? Ahora este fallo se ha hecho público y seguramente muchos lo aprovecharan antes de que lo solventen, lo cual empeora la situación

Es un fallo gravisimo, que deja muy mal parados a los responsables de los sistemas informáticos de Gobierno. Por otra parte ¿No debio la Silla Vacia publicar esto DESPUÉS de haberse solucionado? Ahora este fallo se ha hecho público y seguramente muchos lo aprovecharan antes de que lo solventen, lo cual empeora la situación

Tatiana Duque

16 de Enero

26 Seguidores

Saludos. Como contamos en la historia, se accede por un link y QR que no publi...+ ver más

Saludos. Como contamos en la historia, se accede por un link y QR que no publicamos precisamente para evitar que alguien lo tome por culpa nuestra; y le dijimos al gobierno qué pasaba. Nuestra responsabilidad no es arreglarles el problema, sino contar qué pasó.

Marleny Barrera López

17 de Enero

5 Seguidores

Tatiana, buena investigación y mejor aún, que informaron inmediatamente. Pero, creo que debe haber Visa II, con el proveedor de la plataforma, su contratación, las previsiones de seguridad. ¿Cuántos datos más tendremos expuestos?

Tatiana, buena investigación y mejor aún, que informaron inmediatamente. Pero, creo que debe haber Visa II, con el proveedor de la plataforma, su contratación, las previsiones de seguridad. ¿Cuántos datos más tendremos expuestos?

Marleny Barrera López

17 de Enero

5 Seguidores

Tatiana, buena investigación y mejor aún, que informaron inmediatamente. Pero, creo que debe haber Visa II, con el proveedor de la plataforma, su contratación, las previsiones de seguridad. ¿Cuántos datos más tendremos expuestos?

Tatiana, buena investigación y mejor aún, que informaron inmediatamente. Pero, creo que debe haber Visa II, con el proveedor de la plataforma, su contratación, las previsiones de seguridad. ¿Cuántos datos más tendremos expuestos?

Tatiana Duque

21 de Enero

26 Seguidores

Hola Marleny muchas gracias por leernos. Según nos dijo Karisma en una charla...+ ver más

Hola Marleny muchas gracias por leernos. Según nos dijo Karisma en una charla (te la dejo acá https://www.youtube.com/watch?v=-URbzJguZw0) hay muchos más baches y posiblemente más graves. Esperamos hacer más historias de seguimiento. Saludos.

Contexto

Las historias más vistas en La Silla Vacia