Análisis y reflexiones sobre fallos pasados de la aplicación web MiVacuna

2021-07-14 Leer en voz alta

Por Ing. Juanita

El pasado 16 de junio muchas personas nos despertamos con la expectativa de aparecer, quizás por error, por caridad o ¡por milagro! priorizadas en la aplicación web MiVacuna, pero lo único que encontramos fue un sistema intermitente y con fallas en el captcha.

Hice lo que toda persona debería hacer para saber qué sucede cuando algo no funciona: investigar. ¿Y qué encontré? ¡noticias en diferentes medios de comunicación!. Me llamó mucho la atención la forma en que la información estaba siendo presentada por los medios, eso me suscitó varias dudas y me llevó a un análisis que quiero compartirles:

Lo que encontré en los medios

Inicialmente se refirieron a esto como “HACKEO” a la página web de MiVacuna, -término que debería desaparecer y ser reemplazado por CRACKEO- y que podría llevarnos a una discusión más larga. Este incidente tambén puede tener otra explicación de la que más adelante hablaré a través de varias teorías. Por ahora, les comparto las noticias que encontré así como algunas preguntas sobre estas:

Captura de pantalla de publicación realizada por la Revista Semana el 12 de junio de 2021.

Según esto,

  • ¿Existe un sistema de monitoreo que alerte a tiempo las caídas en los servicios?
  • ¿Es decir que, si no hubiera sido por redes sociales, entonces en MinSalud no se enteran?
  • ¿El presunto ataque logró detener el cargue de las mismas bases de datos que hoy insisten que si alguien no está es culpa de la EPS?
  • El parte de tranquilidad se dio sin que las personas supieran que 4 ó 5 días antes el servicio había sido “vulnerado”. Así, tal cual.
Captura de pantalla de publicación realizada por la Revista Semana el 12 de junio de 2021.

Según esto:

  • ¿El presunto ataque comprometió toda la integridad informática?, ¿es decir, MinSalud también fue vulnerado?
  • ¿Si sólo “buscaba dañar”, por qué tardaron 5 días en restaurar la información? ¿Esos son los tiempos del DRP?
  • ¿Esa web tiene un DRP?
  • ¿Si impedía el cargue, por qué no la bajaron? es decir, ¿por qué no bajaron el servicio de la página hasta que este estuviera restablecido?
  • ¿Por qué la página seguía funcionando (a la misma velocidad) si por detrás presuntamente estaban ejecutando una restitución de información que duró 5 días?, en qué casos, ¿esto no compromete la integridad de la información?
Captura de pantalla de publicación realizada por Pulzo, el 16 de junio de 2021.

Según esto:

  • Fueron 4 días, no 5.
  • Se hicieron mejoras, más no se restauró ninguna base de datos.
  • ¿Las mejoras de seguridad no debieron estar incluidas durante la etapa de desarrollo?
  • Dejan la puerta abierta a considerar que existe un grupo de ciber activistas habitual, los mismos que iban dándole trabajo a los red y blue team en entidades financieras y del Gobierno, y ni ellos se han atribuido el presunto ataque en foros de hacking conocidos.
  • Aquí no hablan de problemas con base de datos, sino de irrupción. ¿De qué tipo? ¿desbordamiento de búfer?, ¿intento de ransomware?
  • ¿Deberíamos tener evidencia de las intermitencias? Personalmente detecté lentitud pero cero caídas del servicio entre el 6 y el 11 de junio.
Captura de pantalla de publicación realizada por la El Tiempo, el 16 de junio de 2021.

Según esto:

  • Parece que hicieron trazabilidad del ataque.
  • No sólo hubo 1 tipo de ataque sino 2.
  • Si evitaron afectar las bases de datos, ¿porque tardaron presuntamente 4 o 5 días en restituirlas, como dijo otro medio?
  • Este medio indica que no hubo afectación a las bases de datos.
  • El problema de acceso fue el domingo 13 de junio con la gran idea del captcha matemático intermitente.
  • Se le abona que se refiere al incidente como “ataque cibernético digital”.

Lo que puedo deducir de esa información

Basada en mi experiencia como ingeniera y como persona del común interesada en su vacuna, saqué varias teorías al respecto de lo que “pudo” haber sucedido:

  • Quizá hubo una denegación de servicio, pero sería causada por la misma cantidad de personas al intentar acceder a consultar su información.
  • Sabiendo esa posibilidad… ¿entonces podríamos entender que no incluyeron el desbordamiento durante la etapa de desarrollo?
  • La información dada a los medios no es consistente por las personas designadas por MinSalud para dar declaraciones.
  • ¿Vamos a la teoría de que si existe demora o lentitud en una página que presta un servicio a una enorme comunidad, hay que buscar un culpable distinto a la entidad para su propia conveniencia por ejemplo, los mismos de siempre? (y ojo aquí que no estoy justificando a ningún actor ciber terrorista/ ciber activista, ¡ni más faltaba!) No todo mal funcionamiento se debe atribuir un ataque cibernético, hasta que se demuestre lo contrario.
  • El ministerio debió considerar las lecciones aprendidas de la fallida CoronApp y las filtraciones de hace 1 mes, estas últimas realizadas ahora si, por ciber terroristas/ ciber activistas.
  • Lo cierto es que ni Twitter o Facebook SON SISTEMAS de monitoreo. Para eso las entidades invierten parte de su presupuesto.

Palabras más, palabras menos, esto tiene varias aristas y no va con la intención de irse lanza en ristre contra un ministerio:

  • Parte técnica
  • Parte comunicativa básica durante la gestión de incidentes: se manejaron 3 versiones ligeramente distintas para 3 medios.

Lo que queda detrás de esto

Puede que nunca sepamos lo que realmente pasó, pero eso no habla bien de nadie acá. Uno de los pilares de la seguridad digital es la confianza y construir confianza empieza por dar información confiable, explicar y aprender de los incidentes que suceden. Nada de eso sucedió acá.

Por otro lado, como persona preocupada por su vacuna, verifiqué la información directamente desde una EPS y resulta  que, en efecto, tienen plazo hasta fin de mes para remitir la información al ministerio y 15 días después, el mismo ministerio sube la información. Es decir  para que una persona sea priorizada en MiVacuna, el proceso toma realmente aproximadamente mes y medio.

Esto puede dejar otras dudas en el aire, cosa que no deberíamos normalizar. Sigue siendo muy preocupante que seamos las personas beneficiarias de los servicios las que tengamos que armar rompecabezas con versiones distintas. Esto solo genera más desinformación, frustración y no contribuye para nada a la confianza.

Por último, iba a hablar de la manera en que algunos medios contribuyen a estigmatizar la imagen del hacker, entendiéndolo como un profesional en seguridad/ciberseguridad que utiliza sus conocimientos en pro de mejorar sistemas de información/ plataformas y dentro de las vías legales, pero eso lo dejaremos para otra ocasión.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.