Si en algún momento has utilizado el sitio de internet del Departamento de Transportación y Obras Públicas (DTOP) del gobierno de Puerto Rico para solicitar un reporte del estatus de un vehí­culo de motor, presta atención, porque la información que brindaste pudo haber estado en riesgo de ser interceptada por ladrones cibernéticos, lo que podrí­a dar paso a posibles robos de identidad.

Una fuente anónima informó en exclusiva a Tecnetico.com  el descubrimiento de una función de búsqueda dentro del sitio en la red de dicho departamento que pide como término de búsqueda el número de seguro social del contribuyente sin implementar medida de protección alguna, poniendo al poseedor de dicho número en grave riesgo de sufrir lo que se conoce como robo de identidad. Este es transmitido de forma tan insegura que, según expertos, podrí­a ser equivalente a pararse en medio de una ví­a de mucho tránsito y sostener con ambas manos un cartel con dicha información, prácticamente exponiéndola a todo el que transite por dicha ví­a.

El funcionamiento inseguro de la función, tal y como fue descrita por la fuente, pudo ser corroborado por Tecnetico.com y varios expertos de seguridad consultados, y es parte de un motor de búsquedas integrado en lo que se conoce como “David”, nombre que se le ha asignado al sistema de computadoras que sirve de apoyo a las funciones de una división del DTOP llamada DISCO (Directorí­a de Servicios al Conductor) y que ha estado en operación desde abril de 1999.

Este ofrece realizar ví­a web varios tipos de búsquedas para obtener información, incluyendo boletos expedidos tanto a una licencia de conducir como a una tablilla o matrí­cula de un vehí­culo y vehí­culos pertenecientes a una persona o negocio, entre otros.

Es precisamente al realizar esta última búsqueda que DAVID solicita como una de las opciones se ingrese el número de seguro social. Una vez ingresado y haber enviado la información mediante un click del mouse en el botón de “submit” o “someta”, esta es transmitida sin ningún tipo de salvaguarda apropiado para la transmisión de datos sensitivos ví­a internet.

Normalmente, sitios que manejan información sensitiva tales como bancos e institiuciones financiera, implementan lo que se conoce como “encryption” o codificación. El mismo sirve como una especie de coraza o vehí­culo blindado que habrá de transportar la información de un punto a otro a través de internet sin que personas ajenas a la comunicación puedan conocer ni manipular su contenido.

La codificación de la información le es notificada al usuario por medio de un dibujo de un candado en uno de los extremos del área donde el navegador internet indica la dirección del sitio que se está visitando. En algunos casos, este dibujo de un candado pudiese aparecer en la parte inferior de la ventana del navegador de internet.

Además del dibujo del candado, el usuario también puede comprobar de que la comunicación se está realizando de forma segura al ver que la dirección de internet que se está visitando comienza con el prefijo “https://” en vez de “http://” (la “s” al final de “http” quiere decir “secure”).

En el caso del área en cuestión dentro del sitio de internet del DTOP, en ningún momento se muestran las señales de una conexión segura que describimos anteriormente, por lo que toda la información provista por medio de dicho web es enviada de forma completamente abierta y lista para ser interceptada y/o modificada.

“ESTA DATA ES FíCIL DE INTERCEPTAR”

De acuerdo al experto en seguridad cibernética Frankie Ramos, el manejar este tipo de información de la forma como lo hace este sitio de internet presenta un serio problema ya que, el no usar “encryption” o codificación, la información que se ingresa y enví­a puede muy fácilmente ser interceptada y utilizada para propósitos que podrí­an incluir el robo de identidad.

En Estados Unidos el número de seguro social es información clave para transacciones de crédito con bancos y compañí­as de financiamiento, así­ como también en expedientes médicos.

Lamentablemente, el gobierno de Puerto Rico no tiene un estándar para las aplicaciones que utilizan los ciudadanos, y en este caso se (vé) claramente que no protegen la información.

Frankie Ramos, experto en seguridad

Por otro lado, en entrevista ví­a Twitter, Miguel Cruz (@tokynet), también experto en seguridad, coincidió con Ramos en que la forma como la información es manejada en este sitio de internet del DTOP no ofrece garantí­a ninguna de que será manejada correctamente.

“La página no cuenta con SSL, así­ que cuando entras tu seguro social y le das “submit”, la informacion NO es encriptada. Esta data es fácil de interceptar con ataques de “Man in the middle” ya que no hay ningun tipo de autentificación (sic) de la página”, indicó el experto.

Ramos opina que el gobierno debe tomar acción estandarizando la forma en que las aplicaciones o sitios web manejan la seguridad de la información que les es suministrada. “Las compañias tienen marcos de regulaciones y responsabilidades de proteger la informacion confidencial de sus clientes”, dijo Ramos. “Lamentablemente, el gobierno de Puerto Rico no tiene un estándar para las aplicaciones que utilizan los ciudadanos, y en este caso se (vé) claramente que no protegen la información”, finalizó diciendo.

MUTIS DEL DTOP Y DEL PEI

Antes de la publicación de esta nota, intentamos comunicarnos con la oficina de prensa del DTOP para alertarlos sobre este asunto y obtener una reacción al respecto de Rubén Hernández Gregorat, secretario del departamento, pero nuestras llamadas a los números de teléfono indicados en la página de contacto de su sitio web no fueron contestados.

También se hicieron gestiones de obtener un comentario por parte del recién nombrado principal ejecutivo de información (PEI) de Puerto Rico, Juan Eugenio Rodrí­guez de Hostos. Sin embargo, estas también resultaron infructuosas.