#liberenapaulcoyote

Nota: Al final de este artículo existen links a otros artículos que se han escrito sobre el tema. Estaré actualizando este post con más links cada vez que encuentre un artículo relevante.

@PaulCoyote publicó en el portal de la comunidad Ecualug un artículo donde describió una falla de seguridad en el sistema de Dato Seguro. Con un poco de esfuerzo era relativamente fácil crear la cuenta de otra persona y acceder a sus datos. Según el polémico artículo @PaulCoyote ya había reportado a través de twitter el problema.

Probablemente la forma de reportar de @PaulCoyote no fue políticamente correcta. A mi no me gustaría que de forma pública alguien demuestre un fallo de seguridad en un sistema que yo administro. Sería mucho mejor si se me notifica a los responsables de los sucedido de forma privada para que se solucione el problema.

Eso fue lo  que hizo @hackeruna. Algún momento mientras más gente reporte de forma privada, llegaría un momento en el que se tomen acciones. @hackeruna reportó el error el 15 de junio donde recibe una respuesta que parece no entender el problema. (Leer el artículo de @hackeruna)

Creo que ninguna de las 2 soluciones son perfectas. Si se reporta el error de forma privada y no se lo soluciona de forma rápida, habrán cada vez habrá más personas que conocen el error y algunos harán mal uso del mismo. Si se hace de forma pública todos sabremos que existe un error, si no se toman acciones de forma rápida entonces ahí si estamos en problemas. Las acciones que se han tomado es añadir un filtro adicional con una llamada telefónica. No se si sea suficiente, pero si no lo es considero prudente cerrar el servicio hasta que cumpla con los requisitos.

Sea como sea la forma de actuar de @PaulCoyote sirvió para que se tomen cartas en el asunto. Si bien yo no hubiera hecho lo que hizo @PaulCoyote, su acción sirvió para que se tomen cartas en el asunto. En todo caso escribió una carta con las debidas disculpas.

Muchos estarán de acuerdo con lo que hizo @PaulCoyote y otros no. Lo que si me parece mal es que vaya la policía armada (el GOE) y lo pongan bajo prisión preventiva. Creo que una citación para declarar su participación en un juicio justo hubiera sido más civilizado.

Paulcoyote detenido por la policía
@PaulCoyote detenido por policías armados, foto tomada de la página de Facebook: Liberenapaulcoyote

Esa foto parece que se detiene al jefe de un cartel de droga. Que yo sepa las armas que utilizo @PaulCoyote fueron su cabeza, el Internet y su computadora. Totalmente desproporcionada esta medida.

La respuesta del presidente

logró que el presidente se entere de lo sucedido y en la cadena Rafael Correa pidió que se libere a @PaulCoyote y  le da permiso para que se publique todos sus datos.

Me parece que la respuesta del presidente fue la correcta, aunque el mensaje no llego completo. La intención de @PaulCoyote nunca fue la de publicar la información de nadie, por lo contrario fue de evitar que otras personas accedan a nuestra información.

¿Cómo podríamos mejorar?

Que tal si se crea una lista de correo electrónico donde las personas técnicas y demás responsables de la DINARDAP pueden tener discusión técnica con ciudadanos dispuestos a ayudar. Tanto @PaulCoyote como @Hackeruna quisieron ayudar y no pudieron. En realidad esto sería interesante para cualquier sistema gubernamental

También considero que el código fuente del software debería ser publicado como software libre. Al fin de cuentas las líneas de código que están en ese sistema se desarrollaron con el dinero de todos los ecuatorianos. Me parece justo que en la sociedad del conocimiento, ese conocimiento (software) sea compartido. Incluso así la próxima vez que alguien encuentre una falla de seguridad, podrá también proponer la solución con código fuente.

Otras lecturas sobre el tema

Mucho se ha escrito en la prensa, pero creo que en este caso es mejor la información que se puede tomar de primera mano por blogueros y gente que entiende mejor el problema.

Artículos relacionados

Publicado por

Rafael Bonifaz

#SoftwareLibre #criptografía y #privacidad

7 comentarios en «#liberenapaulcoyote»

  1. El problema no es –solamente– la seguridad de los datos en la DINARDAP o en su sistema. El derecho de los ciudadanos a la privacidad de la información es algo que a los gobiernos no les suele gustar mucho que digamos, ¿Por qué mis datos personales / privados deben estar a disposición del Gobierno? ¿Quién garantiza que toda la cadena de custodia sobre los datos públicos no se rompa con el pasar del tiempo y de los gobiernos?

    1. Estoy de acuerdo y esto es algo que habla mucho la gente de Wikileaks. Más allá de las buena voluntad que tenga un gobierno y si trabaja con las personas mejor capacitadas del mundo y con un nivel de ética prolija, no asegura que en el futuro esas personas sigan siendo las que administren nuestros datos.
      El programa sobre Cypherpunks publicado en programa de «El Mundo de Mañana» habla justamente sobre la privacidad para los ciudadanos:
      http://assange.rt.com/es/episodio-8–assange-y-los-criptopunks/
      http://assange.rt.com/es/episodio-9–assange-y-los-criptopunks/
      Recientemente se publicó un libro sobre el tema escrito por los participantes de estos programas:
      http://www.orbooks.com/catalog/cypherpunks/

  2. la forma de actuar por parte de los directivos de Dinardap (a la que considero una red social) fue inadecuada y los tuits de su director «justificando las acciones tomadas» confirmó lo mencionado. Los ecuatorianos no debemos registrar nuestra información personal en ningún portal, el gobierno si mas no recuerdo ya tiene suficiente información en el Registro Civil, SRI, Bancos(con el famoso sigilo) claro esta que a esta información solo se puede acceder mediante orden judicial y con datoseguro no se necesita de dichas ordenes, creo que la idea es mala y no debería existir el portal por mas seguro que este sea.

  3. La detención de @PaulCoyote se debe, según entiendo, a suplantación de la identidad. Ahora, los datos que él aparentemente (mal)utilizó eran públicos. Estoy de acuerdo en que la medida fue desmedida, que este tipo de problemas se superaría con una política de gobierno abierto y liberación del código. Esa forma de detenerlo y, peor, mostrarlo como si se tratara de un delincuente lesiona a esta persona.

  4. Les encuentran un fallo y encima lo meten preso?, vamos que no era la mejor manera de informar el fallo pero pongamonos por un momento en el lugar de quien hace este tipo de labor, lo hace por 2 razones, primero porque le apasiona la informática y le gustaría recibir al menos un reconocimiento sobre una hazaña que no lograron hacerlo ni los mismos que desarrollaron ese sistema, O porque tambien necesita comer, mantener a su familia por lo que talves busca un reconocimiento economico. Si yo estuviera en el caso de aquellos que se dedican a esto y VALORO MI TIEMPO entonces mejor no malgasto energias, tiempo y algunas veces dinero en este tipo de tareas donde no me trae ningun beneficio.

    Tengo entendido que en otros paises con mejor mentalidad ahora mismo ya contratarían a ese tipo de personas valiosas en lugar de cohibirlas.

    Que descaro, encima que les dan en bandeja de plata el fallo lo sensuran, insisto talves no era la forma pero es una forma de demostrar su habilidad.

    No apoyo la idea de reportarlo en privado porque nadie trabaja por nada.

  5. No se trata de ser políticamente correcto, sino responsable. La diseminación de vulnerabilidades de seguridad debe ser responsable. Eso implica reportarlo de forma privada y también hacerlo de conocimiento del público, cuando lo amerite. Lo que no implica es usar el ejemplo de un tercero y cruzar líneas que no deben ser cruzadas. Además, ambas cosas (los reportes privados y los públicos) ya se habían hecho previamente (muchos meses antes incluso de Juan) y creo que es irresponsable concluir que nadie sabía del problema y nadie quería corregirlo. No conocemos a nadie ahí dentro como para poderlo afirmar. Por el lado de la privacidad, este portal no cambia el status quo pues la información siempre ha estado en manos del Estado y es públicamente accesible. De hecho cualquiera que ha usado el sistema (es sorprendente la cantidad de gente que no lo usa y asume como funciona) sabe que son llamadas a Web Services de entes ajenos a DINARDAP; ¿a dónde deberían apuntarse los cañones del trollismo que da la comodidad del Internet, entonces? Ni hablar de los web services, en mucho esa información está disponible sobre HTTP sin cifrar ni requerimientos de autenticación. Y volvemos al problema, ¿el problema es la manera en que se reporta una vulnerabilidad o el uso que se da (desde siempre, no ahora, no este gobierno, etc.) a la información del ciudadano? ¿cómo se posiciona Ecuador en el escenario de una América Latina donde la privacidad no es relevante para el usuario final?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.