Análisis y reflexiones sobre fallos pasados de la aplicación web MiVacuna

Por Ing. Juanita

El pasado 16 de junio muchas personas nos despertamos con la expectativa de aparecer, quizás por error, por caridad o ¡por milagro! priorizadas en la aplicación web MiVacuna, pero lo único que encontramos fue un sistema intermitente y con fallas en el captcha.

Hice lo que toda persona debería hacer para saber qué sucede cuando algo no funciona: investigar. ¿Y qué encontré? ¡noticias en diferentes medios de comunicación!. Me llamó mucho la atención la forma en que la información estaba siendo presentada por los medios, eso me suscitó varias dudas y me llevó a un análisis que quiero compartirles:

Lo que encontré en los medios

Inicialmente se refirieron a esto como “HACKEO” a la página web de MiVacuna, -término que debería desaparecer y ser reemplazado por CRACKEO- y que podría llevarnos a una discusión más larga. Este incidente tambén puede tener otra explicación de la que más adelante hablaré a través de varias teorías. Por ahora, les comparto las noticias que encontré así como algunas preguntas sobre estas:

Según esto,

• ¿Existe un sistema de monitoreo que alerte a tiempo las caídas en los servicios?
• ¿Es decir que, si no hubiera sido por redes sociales, entonces en MinSalud no se enteran?
• ¿El presunto ataque logró detener el cargue de las mismas bases de datos que hoy insisten que si alguien no está es culpa de la EPS?
• El parte de tranquilidad se dio sin que las personas supieran que 4 ó 5 días antes el servicio había sido “vulnerado”. Así, tal cual.

Según esto:

• ¿El presunto ataque comprometió toda la integridad informática?, ¿es decir, MinSalud también fue vulnerado?
• ¿Si sólo “buscaba dañar”, por qué tardaron 5 días en restaurar la información? ¿Esos son los tiempos del DRP?
• ¿Esa web tiene un DRP?
• ¿Si impedía el cargue, por qué no la bajaron? es decir, ¿por qué no bajaron el servicio de la página hasta que este estuviera restablecido?
• ¿Por qué la página seguía funcionando (a la misma velocidad) si por detrás presuntamente estaban ejecutando una restitución de información que duró 5 días?, en qué casos, ¿esto no compromete la integridad de la información?

Según esto:

• Fueron 4 días, no 5.
• Se hicieron mejoras, más no se restauró ninguna base de datos.
• ¿Las mejoras de seguridad no debieron estar incluidas durante la etapa de desarrollo?
• Dejan la puerta abierta a considerar que existe un grupo de ciber activistas habitual, los mismos que iban dándole trabajo a los red y blue team en entidades financieras y del Gobierno, y ni ellos se han atribuido el presunto ataque en foros de hacking conocidos.
• Aquí no hablan de problemas con base de datos, sino de irrupción. ¿De qué tipo? ¿desbordamiento de búfer?, ¿intento de ransomware?
• ¿Deberíamos tener evidencia de las intermitencias? Personalmente detecté lentitud pero cero caídas del servicio entre el 6 y el 11 de junio.

Según esto:

• Parece que hicieron trazabilidad del ataque.
• No sólo hubo 1 tipo de ataque sino 2.
• Si evitaron afectar las bases de datos, ¿porque tardaron presuntamente 4 o 5 días en restituirlas, como dijo otro medio?
• Este medio indica que no hubo afectación a las bases de datos.
• El problema de acceso fue el domingo 13 de junio con la gran idea del captcha matemático intermitente.
• Se le abona que se refiere al incidente como “ataque cibernético digital”.

Lo que puedo deducir de esa información

Basada en mi experiencia como ingeniera y como persona del común interesada en su vacuna, saqué varias teorías al respecto de lo que “pudo” haber sucedido:

• Quizá hubo una denegación de servicio, pero sería causada por la misma cantidad de personas al intentar acceder a consultar su información.
• Sabiendo esa posibilidad… ¿entonces podríamos entender que no incluyeron el desbordamiento durante la etapa de desarrollo?
• La información dada a los medios no es consistente por las personas designadas por MinSalud para dar declaraciones.
• ¿Vamos a la teoría de que si existe demora o lentitud en una página que presta un servicio a una enorme comunidad, hay que buscar un culpable distinto a la entidad para su propia conveniencia por ejemplo, los mismos de siempre? (y ojo aquí que no estoy justificando a ningún actor ciber terrorista/ ciber activista, ¡ni más faltaba!) No todo mal funcionamiento se debe atribuir un ataque cibernético, hasta que se demuestre lo contrario.
• El ministerio debió considerar las lecciones aprendidas de la fallida CoronApp y las filtraciones de hace 1 mes, estas últimas realizadas ahora si, por ciber terroristas/ ciber activistas.
• Lo cierto es que ni Twitter o Facebook SON SISTEMAS de monitoreo. Para eso las entidades invierten parte de su presupuesto.

Palabras más, palabras menos, esto tiene varias aristas y no va con la intención de irse lanza en ristre contra un ministerio:

• Parte técnica
• Parte comunicativa básica durante la gestión de incidentes: se manejaron 3 versiones ligeramente distintas para 3 medios.

Lo que queda detrás de esto

Puede que nunca sepamos lo que realmente pasó, pero eso no habla bien de nadie acá. Uno de los pilares de la seguridad digital es la confianza y construir confianza empieza por dar información confiable, explicar y aprender de los incidentes que suceden. Nada de eso sucedió acá.

Por otro lado, como persona preocupada por su vacuna, verifiqué la información directamente desde una EPS y resulta  que, en efecto, tienen plazo hasta fin de mes para remitir la información al ministerio y 15 días después, el mismo ministerio sube la información. Es decir  para que una persona sea priorizada en MiVacuna, el proceso toma realmente aproximadamente mes y medio.

Esto puede dejar otras dudas en el aire, cosa que no deberíamos normalizar. Sigue siendo muy preocupante que seamos las personas beneficiarias de los servicios las que tengamos que armar rompecabezas con versiones distintas. Esto solo genera más desinformación, frustración y no contribuye para nada a la confianza.

Por último, iba a hablar de la manera en que algunos medios contribuyen a estigmatizar la imagen del hacker, entendiéndolo como un profesional en seguridad/ciberseguridad que utiliza sus conocimientos en pro de mejorar sistemas de información/ plataformas y dentro de las vías legales, pero eso lo dejaremos para otra ocasión.

Si necesitas o deseas tener esta información en formato accesible, porfavor escríbenos a comunicaciones@karisma.org.co

Indicándonos el título del contenido en el asunto del correo, por ejemplo: Solicitud formato accesible Análisis y reflexiones sobre fallos pasados de la aplicación web MiVacuna.

Relacionados

Declaraciones Oficiales del Grupo de Latinoamérica y el Caribe, de la Delegación de Colombia y de la Delegación de Brasil en la apertura del SCCR 45 de la OMPI

16 de abril de 2024 Ayer 15 de abril inició el 45° Comité de Derechos de Autor y Derechos Conexos de la Organización Mundial de Propiedad Intelectual (SCCR 45 – por su siglas en inglés). Desde Karisma, como observadoras permanentes, vinimos a participar y les estaremos contando cómo avanzan las discusiones. El día uno tuvo...

El largo camino a una reforma integral

La gravedad de los abusos cometidos por la Policía impulsó a varias organizaciones de la sociedad civil colombiana a exigir la reforma a esta institución.

Comentarios propuesta CERLAC-UNESCO sobre obras huérfanas

Presentamos nuestros comentarios al documento “Lineamientos generales para la gestión y manejo de obras huérfanas con miras a la construcción de una política pública” elaborado por el Centro Regional para el Fomento del Libro en América Latina y el Caribe, CERLALC-UNESCO, en aras de contribuir a la discusión sobre el complejo problema de las obras...