Fallas informáticas en el Gobierno de Bolivia

Siempre, por una obligación ética y moral, es necesario notificar a las personas que tienen relación o están directamente vinculadas con la mitigación de fallas de seguridad informática (ya sean de baja o alta prioridad), en primer lugar, porque de esta forma los administradores de sistemas pueden controlar y corregir los errores y, en segundo lugar, porque así se evitan los ataques de usuarios malintencionados o cibercriminales.

Hace meses atrás, buscando información pública acerca de diversas vulnerabilidades en aplicaciones web de sitios gubernamentales de Bolivia, encontré bastantes y, con la finalidad de ayudar a este país a corregirlas, traté de tomar contacto con la Embajadora de Bolivia en Chile, Magdalena Cajías, para entregarle esta información e incluso ofrecer mi ayuda desinteresada; la embajadora no respondió a mis mensajes.

De igual manera, me contacté con uno de los administradores de la comunidad Hacking Bolivia, principal organización de seguridad informática de este país, los cuales llevan a cabo el Congreso de Informática Forense & Hacking Ético, para que ellos también pudieran alertar y notificar fallas informáticas en caso de que se publicara información al respecto:

Comunidad Hacking Bolivia

Así, finalmente, notifiqué de igual forma a todas las instituciones gubernamentales que fue posible, incluyendo al CSIRT del Gobierno de Bolivia, para que cada institución tuviera la oportunidad de corregir las fallas informáticas:

CSIRT del Gobierno de Bolivia

Escuela de Idiomas del Ejército de Bolivia

Después de todos estos intentos y notificaciones, procedí a publicar parte de la información que envié al CSIRT del Gobierno de Bolivia y a las demás instituciones, bajo la modalidad full disclosure, en mi cuenta de Twitter y en mi canal de Youtube.

Extrañamente, algunos medios noticiosos de Bolivia tomaron esta información sin consultar a todas las instituciones involucradas (y sin consultar al principal aludido, o sea yo), y publicaron artículos fuera de contexto, omitiendo detalles técnicos y el trasfondo principal de todo: ayudar.

Ningún sitio web del full disclosure sufrió daños; sus datos no fueron publicados ni usados para fines que no sean la investigación y la notificación de éstas fallas, tal como se demuestra en mi canal de Youtube.

La motivación de todos los investigadores de seguridad informática es dar a conocer las fallas o agujeros de seguridad que descubren, de igual manera que un científico o médico publica el origen de una enfermedad o una cura, para que el público tenga acceso a esta información y puedan tomar medidas.

Defensoría del Pueblo del Gobierno de Bolivia Defensoria.gob.bo

Gobierno Autónomo Departamental de Santa Cruz Santacruz.gob.bo

Dirección General de Migración del Gobierno de Bolivia Migracion.gob.bo

Escuela Militar de Ingeniería del Ejército de Bolivia Emi.edu.bo

Escuela de Idiomas del Ejército de Bolivia Eie.edu.bo

SICOES Gobierno de Bolivia Sistema de Contrataciones Estatales Sicoes.gob.bo

Ejército de Bolivia Ejercito.mil.bo Gobierno de Bolivia

Finalmente, aclaro que mis intenciones siempre han sido las de llevar a cabo un lazo de amistad con Bolivia, y por esta razón fueron notificadas estas fallas de seguridad, para que mi país vecino pueda enaltecer y fortalecer sus tecnologías, y eviten los ataques de personas malintencionadas.

Les dejo un interesante vídeo acerca de esto: