Inicio > Noticias > Consultor en seguridad informática advierte sobre falencias en la seguridad del sistema de boleto electrónico.

Consultor en seguridad informática advierte sobre falencias en la seguridad del sistema de boleto electrónico.

¿Cómo se puede evaluar el manejo que hace el Sistema Único de Boleto Electrónico (SUBE) sobre los datos de los pasajeros y la seguridad de la administración de esa información? El único que puede responder esta pregunta es el mismo SUBE, ya que estas políticas son internas de la Secretaría de Transportes de la Nación y que, yo sepa al menos, no se han hecho públicas, más allá de los anuncios oficiales. Sin embargo, en un dictamen de la Dirección Nacional de Protección de Datos Personales (DNPDP) (http://www.jus.gob.ar/media/43580/D2009_013.pdf ) se dice que el SUBE “crea un banco de datos con datos personales de los beneficiarios del sistema” y que el mismo cumple con Ley Nº 25.326. Inicialmente una consulta al sitio web de SUBE muestra el isologotipo de esa dirección, lo que simplemente dice que se inscribió en la base de la DNPDP pero no asegura que el sitio

cumple con la ley ni que se haya realizado una auditoria sobre el mismo para asegurar que se cumple con lo solicitado por dicha ley. Por otro lado, una consulta sobre SUBE en la base de la DNPDP (https://www.sitioseguro.jus.gov.ar/dnpdp/acceso/index.epl) dice que está registrada a nombre de Nación Servicios S.A. y que contiene bases (datos personales, recarga, viajes) pero ninguna contiene descripción de “finalidades principales” lo cual sucede en varios casos que

consulté de otras entidades publicas y estatales. A mi modesto entender luego de leer el dictamen mencionado, no se están cumpliendo la ley.

Además, existe el hecho de que conociendo el número de tarjeta de un usuario, sin ingresar contraseña de ningún tipo, estará al alcance de cualquier persona consultar vía Internet los últimos movimientos de éste, y eso sin mencionar la paranoia colectiva que se ha generado sobre el hecho de que el estado haga persecución de los usuarios, de sus viajes y de su estado financiero.

A mi entender, lo ideal sería que las tarjetas sean anónimas y no haya forma de asociar un viaje con el usuario pero esto plantearía otro problema de la identificación del mismo para entregarle o no el subsidio. Creo que aquí chocan dos problemas: la necesidad del Estado

de identificar al usuario y la necesidad de mantener la información recolectada en forma segura y en lo posible anónima.

Un ejemplo de inseguridad sería por ejemplo que actualmente se puede obtener la SUBE desde el sitio de Transporte.gov.ar pero dicho sitio web tiene vulnerabilidades (ya reportadas a ArCERT por mí) que permitirían obtener la base de datos de los usuarios registrados y luego con esa información también se podría obtener sus viajes. Este es sólo un ejemplo de que no se realiza ningún tipo de análisis sobre los sitios web y de las bases de datos personales de esos sitios gubernamentales y por lo tanto no se cumple la Ley 25.326.

(*) El Lic. Cristian Borghello es director de Segu-Info http://www.segu-info.com.ar/

Fuente: Puntogov.com

Anuncios
Categorías:Noticias Etiquetas: , ,
  1. Aún no hay comentarios.
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s