Hace unos días, el Departamento Administrativo Nacional de Estadística (Dane) lanzó el censo nacional. En esta ocasión, el censo incluye una etapa de censo electrónico, que se diligencia en Internet. Este proceso se llamó eCenso.
Tan solo unos días después del lanzamiento, surgió una noticia que desconcertó a miles de colombianos. Una ingeniera colombiana que trabaja en Microsoft le dijo a la W Radio, y publicó en su blog, que las contraseñas almacenadas en el sitio en el que se diligencia el eCenso son inseguras. La ingeniería, llamada Juliana Peña, afirmó que sospechaba que la página almacena las contraseñas en texto plano, y no cifradas.
Como respuesta a esta denuncia, el Dane realizó hoy una rueda de prensa en la que manifestó su postura al respecto. El director de la entidad, Mauricio Perfetti leyó el comunicado oficial del Dane. En la declaración se niegan todas las afirmaciones de Peña. Además, se le asegura a todos los ciudadanos colombianos que los sistemas de seguridad del eCenso están respaldados por diversas organizaciones expertas. Una de ellas es la NSA (National Security Administration o Agencia Nacional de Seguridad) de Estados Unidos.
Perfetti dijo que las afirmaciones de Peña “son falsas, irresponsables y apresuradas, y han atentado contra la confianza que los colombianos han depositado en la operación estadística más grande e innovadora que ha realizado el país”.
Datos cifrados
En cuanto a la denuncia de que las contraseñas están en texto plano, Perfetti explicó que el “Dane usa mecanismos de encriptación con algoritmos que hacen parte de los estándares internacionales avalados por la NSA, e implementados en sus documentos secretos”.
Adicionalmente, el director del Dane aseguró que las contraseñas de los ciudadanos están seguras, ya que se “encuentran encriptadas en una base de datos que cuenta con todos los mecanismos de seguridad para salvaguardar la información, tales como cortafuegos, sistemas de detección y prevención de intrusos”.
Respaldo técnico
Como respuesta a las denuncias de Peña, el Dane también dijo que la entidad conformó un puesto de mando unificado, que es una oficina dedicada al monitoreo permanente de la infraestructura que soporta el eCenso.
“Este puesto de mando unificado está integrado por entidades expertas en identificación y seguimiento de riesgos cibernéticos, tales como el Comando Conjunto Cibernético (CCOC), el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (ColCERT), el Centro Cibernético Policial (CCP), el Ministerio de Tecnologías de la Información y las Comunicaciones (MinTic)», entre otros, explicó Perfetti.
Pánico informático
Adicionalmente, el director del Dane afirmó que las declaraciones de Peña han causado ‘pánico informático entre los ciudadanos’. Además, dijo que es incorrecto desacreditar el “buen nombre y confiabilidad de una entidad técnica que tiene 64 años de historia en el país».
Finalmente, el Dane aprovechó para agradecer a los 342.736 colombianos que hasta el día de hoy a las 3 de la tarde han diligenciado el eCenso. Con esta cifra, se supera la meta que se tenía de la primera semana del eCenso. “Quiero ratificar y asegurarles nuevamente que su información está protegida y nunca estuvo en riesgo”, afirmó Perfetti.
Recuerda que el eCenso está disponible hasta el 8 de marzo de 2018. Puedes acceder a través del sitio web asignado.
Imágenes: capturas de pantalla.
Alguien que asesore al Sr. Mauricio Perfetti porque es evidente que no aplican buenas prácticas de seguridad en el sitio. El diagnostico dado por la Ing. Juliana Peña es válido. Las contraseñas no se deben descifrar!!! Se usa un hash irreversible!!!
El sólo hecho de que envien un correo con la contreña en plano es un error de seguridad.
La explicación de este señor no aporta argumentos técnicos que invaliden las afirmaciones de Peña, son solo un comunicado con un par de palabras «técnicas» para enredar a la ciudadanía que no tiene conocimiento real del tema.
Mi confianza en el eCenso se fue al piso cuando el primer día traté de ingresar durante más de una hora y no fue posible. Si el encuestador va a mi casa gastaría menos de 15 minutos contestando preguntas…
De por dios pero es que son fundamentos de diseño de aplicaciones, definitivamente nos están metiendo a todos los dedos en la boca.
YO NO DILIGENCIO EL CENSO en esas condiciones.
De qué sirve que las contraseñas están guardadas ‘encriptadas’ – apuesto que en base64 – si se envían en texto plano por correo electrónico…
Hágame el bendito favor…
Por cierto , creo que pasa lo mismo en el sitio de Hacienda Bogotá
De hecho, si es base64 con algún ajuste, pero totalmente inseguro.
Qué tiene que ver 64 años de experiencia como empresa en esto? acaso no hay empresas con menos años y con más experiencia?
Lo que nadie pregunta y nadie dice, quien es el contratista del estado encargado del desarrollo de los aplicativos y que experiencia tiene.? es una empresa criolla. para los aplicativos offline de las pruebas saber tambien usaban igual servidor wamp local.