Los sitios web del Estado que manejan información sensible son fácilmente violables. Los insólitos casos de la AFI y los ministerios de Seguridad y Defensa.
Los servidores y sistemas informáticos del Ministerio de Defensa tienen 136 vulnerabilidades conocidas, 13 de ellas de gravedad, y al menos una cuyo arreglo existe desde hace casi dos años y que, si alguien la aprovecha, puede obtener información confidencial, modificar datos, impedir el acceso de otros o tomar el control de esos servidores. El Ministerio de Seguridad tiene 105 vulnerabilidades conocidas, 6 de gravedad, algunas que datan del 2012 y que permiten ataques externos y acceso a información sensible. Se trata de dos ministerios clave, por la información que manejan y porque son parte del Comité de Ciberseguridad creado por el gobierno de Mauricio Macri. Pero no son los únicos, sino que esta situación se repite en distintas escalas en casi todos los ministerios y en los sistemas informáticos del Poder Legislativo y Judicial. Entre todos, hay al menos 615 vulnerabilidades conocidas, algunas incluso hace años, que pueden ser explotadas para obtener e incluso cambiar información clave del Estado.
La comprobación de esta situación es sencilla y fue realizada para El Destape por el especialista en seguridad informática Iván Barrera Oro. El análisis, vale aclarar, fue superficial, sobre información que es pública y sin ingresar en ninguno de los sistemas de los organismos públicos, ya que esto violaría la ley. El resultado fueron 615 vulnerabilidades conocidas, muchas de ellas de gravedad. Y es un número de mínima, un análisis más profundo y con otras herramientas aportaría una cifra mayor.
La situación, para quienes no tienen conocimientos informáticos, se comprende con una analogía simple: basta imaginar una casa con rejas a su alrededor y pensar qué sucedería si se supiera en qué lugares esa reja tiene agujeros y qué ventanas y puertas de la casa quedan siempre abiertas, o que hubiera copias de la llave de la casa circulando por todo el mundo y no cambiaran la cerradura. Quien tenga esa información puede ingresar a la casa, saber lo que hay dentro e incluso tomar objetos y moverlos de lugar o romperlos o sacarlos de la casa para venderlos, o utilizar la casa como casino o para vender drogas. Esa casa es el Estado. Y tiene agujeros en su seguridad informática por todos lados.
Los datos son de principios de julio, por lo que es probable (y deseable) que alguno de los casos se haya arreglado. No modifica el problema, ya que hubo una ventana de tiempo entre que se conocieron esa vulnerabilidades y que se arreglaron en las cuales es difícil saber si alguien las aprovechó. En la analogía, tal vez cerraron los agujeros en la reja, pero no saben si alguien entró mientras estaban abiertos.
Según varios especialistas en seguridad informática que consultó El Destape, cualquiera que tenga conocimientos en informática, aún no tan avanzados, no sólo puede conocer los sistemas de protección de los servidores de las distintas áreas del Estado sino aprovecharse de estas vulnerabilidades.
Paso a paso
El procedimiento para obtener esta información es de acceso público, sin violar ninguna normativa, simplemente hay que saber donde y qué mirar. El Destape lo realizó paso a paso con el especialista Barrera Oro y chequeó el procedimiento con otras fuentes vinculadas a ingeniería y seguridad informática.
El primer paso es acceder a la página de un ministerio. Por ejemplo, el Ministerio del Defensa,www.mindef.gob.ar. Con la gestión Macri, vale aclarar, las páginas de los ministerios derivan a una web común, Argentina.gob.ar, cuyos sistemas de seguridad están actualizados ya que se trata de una página relativamente nueva. Sin embargo, pese a que los ministerios redireccionan automáticamente ahí, siguen alojados en servidores plagados de vulnerabilidades. El caso del Ministerio de Defensa es el peor, pero no el único.
Un segundo paso para saber el estado de la seguridad informática de los servidores es, con el botón derecho del mouse, utilizar la opción “inspeccionar elemento”. Eso abre una solapa en la pantalla donde constan los llamados “Encabezados”, donde figura la información sobre las versiones de los servidores y del código sobre el que está cada página web. Para algunos casos esa información no aparece con esa mecánica, pero es de acceso sencillo a través de otra aplicación denominada curl, cuyo uso es sencillo y accesible a cualquier persona con mínimos conocimientos en informática. Puede suceder que esa información sea falsa, es decir, que quien administra esos sistemas informáticos mienta para distraer al posible atacante. La práctica, según los especialistas consultados por El Destape, es que eso no es común. Y menos en el Estado argentino.
La información de estos encabezados del ministerio de Defensa es que sus servidores son Apache versión 2.4.6, que el código (vendría a ser el lenguaje) es PHP 7.0.33 y que usa la biblioteca para conexiones seguras (cifradas) OpenSSL 1.0.2k. Parece chino, pero la comprobación que sigue es sencilla.
Un tercer paso es, con la información de los encabezados, chequear si la versión que utilizan es la última disponible. Es decir, la más segura. Si la versión que utiliza es vieja, se pueden chequear la cantidad de vulnerabilidades conocidas. Para eso, hay un código internacional llamado CVE, siglas de Common Vulnerabilities and Exposures (en inglés, Vulnerabilidades y Exposiciones Comunes), que es donde se informan y registran los problemas a nivel global. Esa nomeclatura internacional la creo el Departamento de Seguridad Interior de Estados Unidos, que vendría a ser su ministerio de Seguridad. La conocida Homeland Security.
Como su nombre lo indica, son vulnerabilidades conocidas. Es decir, los agujeros en la seguridad que ya se conocen y, por ende, se pueden arreglar. Y, si no se arreglan, cualquiera puede entrar. Al chequear con el código CVE, con una búsqueda simple en Google, aparecen las vulnerabildiades conocidas de cada versión, los riesgos de cada una de ellas y desde cuando existe el “parche” para arreglarlas.
En el caso del Ministerio de Defensa, se detectaron 136 vulnerabilidades conocidas entre las versiones del servidor, el código y la administración de la web. Pero no todas son iguales ni tienen los mismos riesgos. Las vulnerabilidades de ejecución de código son las más peligrosas, ya que no solo te permiten ver sino también modificar e incluso tomar el control del servidor desde un acceso remoto. En el caso del Ministerio de Defensa hay al menos 13 de este tipo, una de ellas conocida desde agosto de 2017. En informática, una ventana de más de casi dos años para una vulnerabilidad es una eternidad.
Otra clasificación de las vulnerabildades es por puntaje, del 1 al 10. Este puntaje se llama CVSS (Sistema de Puntaje de Vulnerabilidades Comunes), desarrollado por The Mitre Corporation, contratista del gobierno de Estados Unidos. Las que tienen score (puntaje) 10 son las más graves. La que tiene el Ministerio de Defensa de ejecución de código tiene score 6.8 y puede generar “denegación de servicio” (que no se pueda entrar al sistema) o incluso que se pueda obtener información confidencial o ejecutar código arbitrario, es decir, modificar información. Pero El Destape encontró varias que incluso tienenscore 10.
Un colador
Hace unos días, Macri firmó el decreto 480 que modificó la conformación del Comité de Ciberseguridad, integrado por Jefatura de Gabinete y los ministerio de Defensa, Seguridad, Relaciones Exteriores y Justicia, que tiene como tarea la elaboración de una Estrategia Nacional de Ciberseguridad y “la definición, identificación y protección de las infraestructuras críticas nacionales”. Entre los miembros de este Comité de Ciberseguridad, El Destape encontró 258 vulnerabiliadades informáticas conocidas. El dato muestra los grados de improvisación y desidia en materia de ciberseguridad, tema clave ya entrado el siglo XXI.
El Destape, junto a Barrera Oro, analizó la situación de los distintos ministerios y de algunas partes del Poder Legislativo y Judicial y los datos son los siguientes.
La Presidencia (www.casarosada.gob.ar) tiene una versión del código PHP 5.4.35, que tiene 29 vulnerabilidades conocidas, 12 de gravedad. Entre ellas, 4 de ejecución de código de las cuales 3 tienen un puntaje de 7.5 sobre 10, y que permiten al atacante obtener información sensible.
El caso del Ministerio del Interior también es interesante, ya que varios usuarios de Twitter que conocen de estos sistemas revelaron que en la página del Registro Nacional de las Personas (RENAPER) había una falla que permitía el acceso a los datos personales de toda la población. Se desconoce desde cuando existía esta falla, pero Barrera Oro asegura que alguien con conocimientos informáticos pudo haber descargado toda esa valiosa información sin mucho esfuerzo. El RENAPER depende del Ministerio del Interior, que tiene 102 vulnerabildades conocidas, 5 de gravedad y dos cuyo parche existe desde 2017.
El ministerio de Hacienda tiene 82 vulnerabilidades conocidas, 9 de ejecución de código y alguna incluso conocida desde 2016. El ministerio de Justicia tiene en sus servidores Apache una versión 2.4.25, que reporta 17 vulnerabilidades conocidas. Una de ellas, de ejecución de código, que significa que quien la utilice no sólo puede ver sino modificar dentro de esos servidores. El parche para este agujero está disponible desde el 11 de junio pasado.
El caso del Ministerio de Seguridad, que comanda Patricia Bullrich, tiene 105 vulnerabilidades conocidas entre sus servidores, el código y el sistema operativo que utiliza. La mayoría, 64, son de de la aplicación web, que se llama Drupal 7. De esas 64 hay 5 de ejecución de código. Según explicó Barrera Oro a El Destape, esto no solo es grave sino que Drupal 7 ya no tiene actualizaciones. Es decir, no solo se conocen los agujeros sino que no tienen arreglo.
La Anses no permite visualizar la versión de los servidores que utiliza pero si el código (lenguaje) y el sistema operativo sobre el que corre, en los que hay 38 vulnerabilidades conocidas, 3 de ellas de ejecución de código reportadas entre 2017 y 2018.
Otro caso es el de Arsat, la empresa nacional de satélites y telecomunicaciones. Allí hay 36 vulnerabilidades conocidas, una de ellas de ejecución de código cuyo parche data del 8 de diciembre de 2017.
En la Procuración del Tesoro, que es la cabeza de los abogados del Estado y quien, por ejemplo, defiende al país en los juicios que le hacen las grandes empresas en tribunales extranjeros, la situación tiene una particularidad y es que las vulnerabildades llegan al puntaje de máxima gravedad: 10.
La Agencia Federal de Inteligencia (AFI) no permite ver los encabezados, pero su web no utiliza el protocolo HTTPS, que envía la información en forma cifrada y segura. Esto es preocupante, ya que permite que cualquiera pueda hacerse pasar por la AFI o que cualquiera que capture el tráfico web desde y hacia el servidor pueda inspeccionar el contenido de las comunicaciones.
El Poder Judicial no escapa de esta situación. El Centro de Información Judicial (CIJ), portal que maneja la Corte Suprema, reporta 51 vulnerabilidades conocidas. De esas 50 son del código PHP 5.4.16, de las cuales la mitad son de gravedad, algunas se conocen desde 2016 y permiten acceso a información sensible y ataques que impidan el acceso, entre otras cuestiones.
La web del Poder Judicial de la Nación (www.pjn.gov.ar) tiene al menos 9 vulnerabilidades en la versión de sus servidores y no permite ver su código ni la aplicación con la que la administran. De esas 9, casi la mitad son graves y una con puntaje 10 que se conoce desde 2018.
