El Departamento de Hacienda estaba alertado desde mediados de enero, al igual que otras agencias públicas, acerca de la vulnerabilidad de su sistema de informático, por lo que la crisis que provocó un “jacker” en estos días no debió producir sorpresa, confirmó hoy el profesor Edfel José Rivera, de la Universidad de Puerto Rico (UPR) en Cayey.
“No es solamente el Departamento de Hacienda, la vulnerabilidad de las agencias de gobierno respecto a seguridad en Internet había sido identificadas y comunicada mediante correo electrónico el 16 de enero pasado”, aseguró a la agencia Inter News Service (INS) el profesor de Administración de Empresas.
PUBLICIDAD
Rivera explicó que su objetivo al enviar la notificación era que los responsables actuaran con prontitud ante la vulnerabilidad y obsolescencia de sus sistemas informáticos, para evitar una crisis como la surgida en Hacienda, que ha costado sobre 20 millones de dólares y requerido la intervención del Negociado Federal de Investigaciones (FBI).
También alertó al Centro de Recaudación de Ingresos Municipales (CRIM), el cual también fue víctima de hackers esta semana recién transcurrida.
“El hallazgo surgió mientras se realizaba una evaluación dirigida a recomendar una política pública basada en tecnologías emergentes de información”, explicó.
En ese proceso, añadió, se detectaron “severas vulnerabilidades en agencias críticas en el gobierno de Puerto Rico”.
“Estas vulnerabilidades podrían comprometer la seguridad de información alojada en servidores de las agencias identificadas, así como el envío de información altamente sensitiva por parte de usuarios”, manifestó.
PUBLICIDAD
El profesor universitario colocó en su lista de mayor fragilidad, al concluir el estudio, el Sistema de Retiro, la Autoridad de Acueductos y Alcantarillados (AAA), los departamentos de la Familia, de Salud y del Trabajo; la Administración de Servicios Generales y la Oficina del Contralor de Puerto Rico, entre otras.
De todas las agencias alertadas por Rivera, la Oficina del Contralor fue la única que procedió a hacer cambios en su sistema informático para evitar la penetración de intrusos externos.
Rivera, quien desde 2003 administra su propio servidor bajo el sistema Linux, explicó a la agencia INS que el problema radica en la criptografía que se utiliza para realizar conexiones “seguras” a través de Internet.
“Esa criptografía se logra mediante el uso de Secure Sockets Layer (SSL); la vulnerabilidad radica en el uso en estos sistemas de programación y protocolos obsoletos”, precisó Rivera, quien evidenció a la agencia INS el intercambio de comunicación que sostuvo.
El estudioso de la tecnología alertó a las agencias con suficiente antelación con el propósito de que cuando, próximamente, dé a conocer en su totalidad los resultados de su indagatoria, se hayan protegido adecuadamente.
Aclaró que para realizar el análisis, durante el fin de semana del viernes 13 al domingo 16 de enero de 2017, utilizó el Directorio de Agencias del Gobierno de Puerto Rico como “marco muestral”.
El profesor de la UPR en Cayey reconoció que la evaluación realizada no fue más completa ni más profunda por la falta de tiempo, por lo que otras deficiencias y debilidades pudieran prevalecer en esos sistemas, ya que el análisis se limitó, en la mayoría de los casos, a un renglón abierto y susceptible a conexión segura (SSL) por cada agencia.
“El análisis fue realizado a través de herramientas de acceso y uso público, en ningún momento se ha hecho uso de herramientas de penetración ilegal de sistemas ni de hackeo”, estableció Rivera.
El tecnológico reconoció, a preguntas de Inter News Service, que ante la situación fiscal que atraviesa el país, el gobierno podría ahorrar millones de dólares estableciendo un acuerdo con la UPR, en Mayagüez, para estructurar un sistema único de informática del Estado, con ramificaciones hacia las diversas agencias.
“Definitivamente, esto podría ahorrar mucho dinero en este momento de crisis, aparte de que en mi análisis, la UPR salió entre las más seguras”, ratificó.
La UPR Mayagüez cuenta con recursos extraordinarios, mientras que el gobierno está carente de personal en este sentido, de algunos de los encargados del área que respondieron la comunicación.
Rivera, que realizó su análisis mediante herramientas de uso público y disponibles en Internet, categorizó con “F” aquellas páginas más vulnerables, como el CRIM, Mi Cuenta de la AAA, la Oficina del Contralor, el formulario en línea de Certificado de Cumplimiento Patronal de Asume (Familia); el acceso a Servicios en Línea del Sistema de Retiro, el Registro Único de Licitadores (ASG), el portal de Patronos del Departamento del Trabajo y Recursos Humanos, entre otros.
La Colecturía Virtual de Hacienda obtuvo una calificación de “C”.
Los resultados demostraban que estos sistemas informáticos muestran una gran fragilidad a ataques de uno o más mecanismos conocidos como Drown, Freak, MITM y Poodle.
Rivera aclaró que Drown ganó auge en marzo de 2016 y permite que un servidor pueda ser utilizado para realizar ataques a otras computadoras, mientras que los realizados con Poodle van dirigidos a los navegadores, a los cuales se les intenta inyectar código JavaScript.
MITM se refiere a “hombre en el medio” y suele ser utilizado para obtener claves de acceso a las páginas de Internet.
