Por: Stéphane Labarthe
La página “Mi Vacuna” es un portal que pertenece al sitio web del Ministerio de salud y protección social, desarrollado en el contexto de la vacunación contra el COVID-19.
Al momento de este análisis, adelantado por el K+LAB, el laboratorio de seguridad digital y privacidad de la Fundación Karisma, MiVacuna permite a las personas mayores de 80 años verificar que estén en la lista para vacunación en la primera fase.
Carolina Botero, directora de Fundación Karisma, publicó una columna el 12 de febrero en El Espectador , socializando el punto de vista de Fundación Karisma sobre este portal y adelantando los hallazgos que para ese momento habían aparecido en el análisis del laboratorio de privacidad y seguridad digital, K+Lab.
El informe que se puede descargar al final de esta entrada da base a esa columna y presenta los elementos técnicos y evidencias específicas de cada punto en sus anexos.
El informe tiene dos ideas centrales:
1. La ausencia de una política de privacidad específica para el portal “MiVacuna”.
Es necesario, en un esfuerzo de transparencia y de respeto de la ley de protección de datos personales (Ley 1581 de 2012), que se publique una política de protección de datos personales específica para esta plataforma. Actualmente sólo se hace referencia a la “política de uso y privacidad” del sitio web del Ministerio Salud y de protección social, que es muy general, incompleta y no ha sido actualizada desde octubre 2012, mucho menos responde a las especificidades de Mi Vacuna.
2. Un buen nivel de seguridad digital,
Desde lo que se puede observar con una metodología de análisis externa y no intrusiva, que es lo que usamos en K+Lab, la aplicación tiene buena seguridad digital, de hecho se reconoce que sus elecciones de desarrollo privilegiaron este aspecto. Muchos de los errores que K+LAB solía observar en sus análisis anteriores de sitios webs del Gobierno no se presentaron aquí y esto es muy positivo.
En este segundo punto puede ser interesante resaltar algunas buenas prácticas que implementa esta plataforma, y que solíamos recomendar, buenas prácticas que desde hace poco son una exigencia a través de la Resolución MinTIC 1519 del 2020 que incluye “Condiciones mínimas técnicas y de seguridad digital” aplicables a los sitios webs de entidades estatales y otras [1], entre las que resaltamos;
- Usar el protocolo HTTPS (HTTP + SSL/TLS) junto con el método POST, para transmitir datos personales y/o sensibles. Al contrario, nunca enviar datos personales o sensibles en parámetros de las URL (por el método GET) porque puede ocasionar fugas de datos personales a terceros cómo lo constatamos en varios de nuestros análisis.
- Implementar un control de autenticación seguro para las sesiones de las personas usuarias.
- Habilitar atributos de seguridad de las cookies internas como Secure y HttpOnly, en particular para las que puedan contener informaciones sensibles como tokens de autenticación de sesión.
- Habilitar las cabeceras de seguridad en las respuestas del servidor web (por ejemplo: X-XSS-Protection, Strict-Transport-Security, X-Frame-Options) ;
- Evitar la divulgación de información técnica cómo las versiones detalladas de los componentes del servidor web a través de sus respuestas, ya que pueden facilitar un ataque.
- Hay también muchas otras recomendaciones de este documento del MinTIC que son importantes pero cuya implementación no se puede verificar desde un análisis externo y pasivo cómo el que hicimos. Verificar su implementación requeriría una auditoría interna y un test de penetración. Esperamos que el Ministerio de salud y protección social haya hecho este trabajo para plataformas como esta ya que van a manejar información sensible de millones de personas, que hay que proteger.
Accede al informe: Análisis del Formulario del Ministerio de Salud de consulta de poblciones priorizadas para vacunación contra el COVID-19
1.Te invitamos a acceder a nuestro informe en Formato PDF, haciendo clic en el siguiente link: InformeCompletoAnálisiSMiVacuna
O a descargarlo también en formato PDF haciendo clic en el siguiente link:
2.Te invitamos a descargar nuestro informe en Formato Word, haciendo clic en el siguiente botón:
Referencias:
[1] Para la lista completa de las “entidades obligadas” que tienen que respetar esta resolución y sus anexo, ver el artículo 1 del DECRETO 1494 DE 2015, aquí: http://www.secretariasenado.gov.co/senado/basedoc/decreto_1494_2015.html
Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.
Indícanos el título del contenido en el asunto del correo, por ejemplo: Analizamos la seguridad digital y privacidad del portal web Mi Vacuna
Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co
Relacionados
Declaraciones Oficiales del Grupo de Latinoamérica y el Caribe, de la Delegación de Colombia y de la Delegación de Brasil en la apertura del SCCR 45 de la OMPI
El 15 de abril inició el 45° Comité de Derechos de Autor y Derechos Conexos