El viernes 27 de marzo, a las 5 de la tarde, recibí un mensaje directo en Twitter. El remitente era Jorge Villalobos, un programador de software mexicano que vive en Estados Unidos y nunca ha trabajado en el gobierno. Escribió: “Los datos del mapa de salud de Sinave se publican unas horas antes de que se dé la conferencia (sobre coronavirus). No es muy difícil sacarlos si uno sabe algo de programación de software”.
En los días siguientes, Villalobos mandaba un mensaje similar, con las cifras de casos que anunciarían más tarde. Cada noche, coincidían. En una larga entrevista, dijo que no estaba hackeando la página, sino que había una “mala práctica” en la configuración, que “estaba muy mal hecha” y habían colgado en el sistema una versión visible, antes de la hora del anuncio oficial, que “cualquier programador” podía hallar fácilmente.
Insistía: “se puede acceder sin problema, pero creo que los que hicieron la página no saben”. Decidimos entonces: haríamos públicos los datos en mi cuenta de Twitter, y veríamos si ocurría un “parche” en el sistema. No sucedió y las cifras se confirmaron nuevamente. Muchísimas personas criticaron que los datos se publicaran primero en la cuenta de una periodista, aduciendo que para eso había una conferencia de prensa. Y claro, tenían razón. Al interior de la secretaría de Salud, buscaban quién era “la fuente confiable” que había filtrado, pero el sistema siguió intacto.
Al día siguiente Villalobos grabó un video explicando cómo lo conseguía. Los expertos de seguridad digital Luis Fernando García, de la organización R3D, y Rafael Bucio, director de la empresa TPX Security, lo analizaron y coincidieron: lo que hizo su colega es legal, y se trataba de un mal diseño de la página. Pero los tres detectaron una vulnerabilidad más preocupante.
El mapa está colgado en una página del Sistema Nacional de Epidemiología (Sinave), creada en 2006, que funciona con http, un protocolo de Internet no encriptado. Además de las cifras sobre coronavirus, se albergan también allí datos de otras enfermedades, como cólera, influenza, diabetes y tuberculosis. García, de R3D, dijo: “El dominio no encriptado expone a los servidores públicos con acceso al sistema al robo de sus credenciales (usuario y contraseña) y al acceso no autorizado a la información. No es posible medir la gravedad del daño potencial de un acceso no restringido, pero sería sumamente importante corregir”.
Bucio analizó Sinave a través de Shodan, una plataforma pública de análisis de riesgo. Encontró que el sitio tiene al menos ocho vulnerabilidades detectadas en esa plataforma. “Esa página podría ser vulnerada en tres o cuatro horas de trabajo de un ciberdelincuente”, aseguró.
Este 2 de abril, la Dirección General de Epidemiología de la Secretaría de Salud respondió para esta columna que el sitio está monitoreado 24 horas en un Centro de Datos de Infraestructura Tecnológica con protocolos de seguridad ante ataques. Poco antes de enviar la respuesta, el mapa que adelantaba las cifras fue eliminado del sistema y los datos dejaron de ser accesibles antes de la conferencia nocturna. Al hacerlo, el sitio de Sinave dejó de funcionar durante unos minutos. “Se les cayó toda la página cuando entraron a corregir. Esa es otra prueba: quien lo está trabajando no es profesional, parecen becarios”, dijo Villalobos. Más tarde, desde Salud dijeron que habían eliminado el mapa “para no crear mal entendidos (sic)”.
La Secretaria respondió también que sí tienen certificados de encriptación y que “se implementará en los próximos días, más sin embargo es importante mencionar que la información nunca ha estado expuesta a cualquier tipo de ataque (sic)”. Para los expertos, el hecho de que el mapa pudiera verse antes no es lo ideal, pero no es un error demasiado grave. Consideran más importante vigilar cómo está funcionando el sistema. García, de R3D, dijo: “Si bien de estos errores no se puede generalizar que toda la información que maneja el gobierno en respuesta en esta epidemia está en riesgo, si es deseable que información más sensible; por ejemplo, aquella que se pretende sea compartida a través de la app anunciada por el gobierno, sea protegida con mucho mayor cuidado”.
