@PaulCoyote publicó en el portal de la comunidad Ecualug un artículo donde describió una falla de seguridad en el sistema de Dato Seguro. Con un poco de esfuerzo era relativamente fácil crear la cuenta de otra persona y acceder a sus datos. Según el polémico artículo @PaulCoyote ya había reportado a través de twitter el problema.

Probablemente la forma de reportar de @PaulCoyote no fue políticamente correcta. A mi no me gustaría que de forma pública alguien demuestre un fallo de seguridad en un sistema que yo administro. Sería mucho mejor si se me notifica a los responsables de los sucedido de forma privada para que se solucione el problema.

Eso fue lo  que hizo @hackeruna. Algún momento mientras más gente reporte de forma privada, llegaría un momento en el que se tomen acciones. @hackeruna reportó el error el 15 de junio donde recibe una respuesta que parece no entender el problema. (Leer el artículo de @hackeruna)

Creo que ninguna de las 2 soluciones son perfectas. Si se reporta el error de forma privada y no se lo soluciona de forma rápida, habrán cada vez habrá más personas que conocen el error y algunos harán mal uso del mismo. Si se hace de forma pública todos sabremos que existe un error, si no se toman acciones de forma rápida entonces ahí si estamos en problemas. Las acciones que se han tomado es añadir un filtro adicional con una llamada telefónica. No se si sea suficiente, pero si no lo es considero prudente cerrar el servicio hasta que cumpla con los requisitos.

Sea como sea la forma de actuar de @PaulCoyote sirvió para que se tomen cartas en el asunto. Si bien yo no hubiera hecho lo que hizo @PaulCoyote, su acción sirvió para que se tomen cartas en el asunto. En todo caso escribió una carta con las debidas disculpas.

https://twitter.com/paulcoyote/status/273080272768086016

Muchos estarán de acuerdo con lo que hizo @PaulCoyote y otros no. Lo que si me parece mal es que vaya la policía armada (el GOE) y lo pongan bajo prisión preventiva. Creo que una citación para declarar su participación en un juicio justo hubiera sido más civilizado.

@PaulCoyote detenido por policías armados, foto tomada de la página de Facebook: Liberenapaulcoyote

Esa foto parece que se detiene al jefe de un cartel de droga. Que yo sepa las armas que utilizo @PaulCoyote fueron su cabeza, el Internet y su computadora. Totalmente desproporcionada esta medida.

La respuesta del presidente

#PaulCoyote logró que el presidente se entere de lo sucedido y en la cadena Rafael Correa pidió que se libere a @PaulCoyote y  le da permiso para que se publique todos sus datos.

http://www.youtube.com/watch?v=hByTImQe1Zg

Me parece que la respuesta del presidente fue la correcta, aunque el mensaje no llego completo. La intención de @PaulCoyote nunca fue la de publicar la información de nadie, por lo contrario fue de evitar que otras personas accedan a nuestra información.

¿Cómo podríamos mejorar?

Que tal si se crea una lista de correo electrónico donde las personas técnicas y demás responsables de la DINARDAP pueden tener discusión técnica con ciudadanos dispuestos a ayudar. Tanto @PaulCoyote como @Hackeruna quisieron ayudar y no pudieron. En realidad esto sería interesante para cualquier sistema gubernamental

También considero que el código fuente del software debería ser publicado como software libre. Al fin de cuentas las líneas de código que están en ese sistema se desarrollaron con el dinero de todos los ecuatorianos. Me parece justo que en la sociedad del conocimiento, ese conocimiento (software) sea compartido. Incluso así la próxima vez que alguien encuentre una falla de seguridad, podrá también proponer la solución con código fuente.

Otras lecturas sobre el tema

Mucho se ha escrito en la prensa, pero creo que en este caso es mejor la información que se puede tomar de primera mano por blogueros y gente que entiende mejor el problema.

• www.DatoSeguro.gob.ec NO es seguro por @PaulCoyote
• datoseguro.gob.ec su vulnerabilidad y el hacking etico por @hackeruna
• #LiberenaPaulCoyote por @calu
• #LiberenaPaulCoyote por @kevinhurlt
• Paúl Moreno arrestado en Ecuador por demostrar vulnerabilidades de web estatal de @earcos
• Ethical Hacking y el caso de @PaulCoyote de @lou_s
• Discución sobre el tema en la lista de ASLE: Noviembre – Diciembre.
• El historial de 9 años de participación en Ecualug de @PaulCoyote
• #liberenapaulcoyote de @epe
• Liberan a bloguero ecuatoriano acusado de “hackear” al presidente Correa publicado en FayerWayer
• Blogger Jailed After Password-Hacking Ecuador’s President publicado en portal revista Wired
• Bloguero ecuatoriano Paúl Moreno fue liberado en Global Voices Español
• Ecuadorian Blogger Paúl Moreno is Freed publicado en Global Voices Inglés
• Social media helps free blogger jailed for ‘hacking’ Ecuadorian president en The Verge
• ¿Dato Seguro es inseguro? Sobre las acciones de “Paúl Coyote” de Karina Astudillo