“La página del eCenso almacena mal tu contraseña, no la uses": Juliana Peña
La colombiana, ingeniera de software en Microsoft, advierte que el portal que ha creado el Dane para el próximo censo tiene graves problemas de seguridad.
Desde el pasado 9 de enero, inició el mayor proyecto del Departamento Administrativo Nacional de Estadística (Dane) para este 2018, el cual es llevar a buen término el Censo 2018.
Sin embargo, han sido varios las inconformidades que la entidad ha tenido que atender recientemente, y entre ellas aparece la denuncia de Juliana Peña, ingeniera de sistemas con cinco años de experiencia en Microsoft.
Cabe señalar que Juliana Peña hizo estas declaraciones en La W a título personal y en ningún momento representa la posición oficial de Microsoft ni actuó como vocera de esta compañía.
Peña manifiesta que la página del Dane no brindaría seguridad informática a los colombianos, ya que este sitio web guardaría las contraseñas de los usuarios y estaría poniendo en riesgo otras cuentas de los ciudadanos en caso de que estén utilizando la misma clave.
Esta es la advertencia que realiza la ingeniera:
Al registrarme hoy para el eCenso del DANE, me percaté de algo muy peligroso: la página me mostró mi contraseña en la pantalla cuando terminé mi registro. Esto me dio la sospecha de que la página almacena la contraseña en texto plano. Lo pude confirmar usando la opción de “Olvidé mi contraseña”, la cual me envió por email mi contraseña en texto:
¿Qué significa esto? El DANE almacena las contraseñas de una forma que, si hackers llegan a robarse la base de datos, podrán leer y usar las contraseñas. Esto no sólo les dará acceso a las cuentas de los usuarios en el DANE. La mayoría de personas, a pesar de que es mala práctica, re-usan contraseñas entre diferentes páginas. Es muy probable que la contraseña que usaron para el eCenso sea la misma que usan para su email, Facebook, banco, etc.
En vez de esto, la práctica de seguridad recomendada es usar una función criptográfica llamada hash junto con una “sal” criptográfica, que transforma la contraseña en algo irreversible que no es transferible a otras páginas, antes de almacenarla. Es por esto que cuando olvidas tu contraseña en una página como Facebook o Gmail, ellos no te pueden mostrar tu contraseña, solo cambiarla.
Además, después de buscar por toda la página del eCenso, no hay forma de cambiar la contraseña. La primera que pones es la que queda. Así que si ya usaste una contraseña mala o repetida, no hay forma de arreglarlo.
Recomendaciones:
Si ya te registraste en la página del eCenso, cambia todas tus contraseñas de tus cuentas que compartan contraseña con tu cuenta de eCenso. Idealmente, todas tus cuentas deberían usar contraseñas diferentes y aleatorias. Una herramienta de contraseñas como LastPass es lo más recomendado para esto.
Si aún no te registras, trata de hacer el censo de forma presencial o que no requiera la página del eCenso. Si esto no es posible, regístrate en el eCenso con una contraseña única y aleatoria que no uses en ninguna otra parte.
¿Qué significa esto para el resto de la seguridad de la página del eCenso?
La verdad no soy experta en seguridad (soy ingeniera de software pero en el ámbito web), así que no podría decir, pero el hecho de que la página tenga un error de implementación de este calibre (esto es algo básico que cualquier programador debería saber), me da miedo saber qué más haya detrás de esto. El gobierno asegura que la herramienta del eCenso “fue desarrollada con la asesoría de expertos en seguridad digital de diferentes instituciones”, pero ¿qué tipo de expertos contrató al gobierno que no se dieran cuenta de este error? Me parece una falta terrible del gobierno con sus ciudadanos porque pone en riesgo su seguridad informática.
Actualización: Publiqué un artículo con más detalles del asunto, al poder descargar y analizar el código del DANE. Las contraseñas no están precisamente guardadas en texto plano, pero es como si lo estuvieran.