El K+Lab, nuestro laboratorio de seguridad y privacidad en Fundación Karisma, impulsa actividades en pro de la seguridad digital de la ciudadanía. Como parte de este accionar, realiza análisis de sitios web y aplicaciones del Gobierno colombiano con el fin de contribuir a mejorar su información, su seguridad digital y su privacidad, para el beneficio de la ciudadanía y de las entidades responsables de estos sitios. Este tipo de ejercicios han demostrado ser valiosos y pueden llevar a mejoras importantes.
En un primer ejercicio, analizamos la página imeicolombia.com.co y, tras la socialización de nuestro análisis, se generaron importantes cambios en su implementación. Hicimos también un segundo ejercicio con el sitio web de la Unidad para la Atención y Reparación Integral a las Víctimas, el cual fue presentado junto con la entidad y el MinTIC en el IV Foro de seguridad digital en Bogotá, como un “caso de éxito de colaboración entre la sociedad civil y el gobierno”.
En esta oportunidad estamos presentando el análisis del sitio web de la DIAN que además de información de consulta, también ofrece servicios extensamente usados por los ciudadanos colombianos, extranjeros residentes y empresas. El informe incluye además un análisis de la aplicación de la entidad, que proveía un servicio de chat y de localización de los puntos cercanos de atención.
Este informe cuenta con tres ejes principales:
- Cumplimiento con los requisitos de la ley de protección de datos (información legal, transparencia y contratos)
- Seguridad digital del sitio web
- Privacidad y tracking
Este informe se basa en la investigación técnica, no intrusiva -que nunca afectó los servicios de la entidad ni buscó entrar a sus servidores-, ajustada al marco legal del país y a nuestros principios éticos, realizada entre agosto y septiembre de 2017 con dos verificaciones posteriores, una en enero y otra en noviembre de 2018. En mayo de 2018, parte de la investigación fue presentada en la Conferencia RightsCon en Toronto, Canadá. Conoce la presentación acá.
En febrero de este año se envió una versión completa de este informe a la DIAN y al MinTIC que generó una serie de mejoras, las cuales se detallan en el informe. En noviembre de 2018 evidenciando que algunos de los problemas reportados aún no han sido corregidos, a pesar del tiempo prudencial que se dió, decidimos publicar el informe. Valga aclarar que en la versión pública de este informe, hemos omitido la información sobre vulnerabilidades que podrían poner en riesgo el sistema de la DIAN, aunque esto hace parte del informe completo que se entregó a la institución.
El informe detalla las buenas prácticas que encontramos: el uso del protocolo de seguridad HTTPS en la mayoría de páginas y formularios del sitio, una información legal bastante completa y que el sitio principal está albergado en Colombia. Sin embargo existen algunos otros puntos por mejorar que el análisis puso en evidencia y que invitamos a conocer completamente en el informe completo que puede ser descargado acá.
Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.
Indícanos el título del contenido en el asunto del correo, por ejemplo: DIAN, la seguridad digital de su sitio web y aplicación
Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co