A raíz de la filtración de información que sufrió la página web de Gobierno Digital, situación que investiga el Ministerio Público a fin de saber la magnitud del compromiso de datos de los usuarios. En paralelo, el Ejecutivo inició un proceso de actualización gradual de las contraseñas de la clave única para dar mayor tranquilidad a los usuarios. Esta opción aparecerá cuando usted entre a un sitio que requiera esta herramienta digital.
A través de una declaración pública, la Segpres informó: "No existe una base de datos en que estén disponibles las contraseñas de clave única de los chilenos. Lo que se almacena no es la contraseña, sino un código complejo o cifrado no reversible, que se genera cada vez que se enrola a un usuario. Esto quiere decir que no es posible utilizar un código o función para obtener la contraseña original a partir de este código cifrado".
Código indiscifrable
Sobre esto, el experto en ciberseguridad y director de Welinux, Hans Poo, confirma que las contraseñas no se guardan de manera textual: "Cuando se enrola a un usuario, se utiliza una función Hash, esto es un algoritmo para transformar ese texto de la contraseña en un código indescifrable y unilateral. Por ejemplo, si mi clave es 123456, la base de datos tendrá guardado un código del tipo #b!1001, que hace muy difícil el mal uso de contraseñas".A pesar de que la función Hash es la forma más segura para guardar contraseñas, la seguridad depende del tipo de algoritmo que se utilice. Gabriel Bergel, máster en ciberseguridad de la IMF Business School y en la Universidad Camilo José Cela de España, comenta que "todo depende del tipo de Hash, ya que estos se van renovando y complejizando con el tiempo. Hay algunos Hash que ya han logrado ser descifrados o revertidos". Sin embargo, Hans Poo afirma que "lograr revertir el código es algo muy complejo y que puede demorar hasta un año".
Sobre la investigación, el ministro de la Segpres, Cristián Monckeberg, relató que la división de Gobierno Digital, que depende de su ministerio, supo del ingreso no autorizado el jueves de la semana pasada y, luego, se recabaron antecedentes que se enviaron a Fiscalía: "Para poder acceder tiene que haber tenido algunos datos de nuestros sitios web previamente, hay IP afuera, IP adentro, con la investigación se va estrechando el círculo".
Cambio de clave
Hans Poo asegura que es muy importante que se actualicen las claves únicas por el ataque informático a Gobierno Digital: "Si las personas tienen contraseñas relativamente fáciles de adivinar y el hacker tiene acceso a los nombres de los usuarios, este va a partir intentando combinaciones relacionadas a fechas de nacimiento de familiares, por ejemplo, y va a ser más fácil descifrar el código. Aunque ese es más un problema del usuario que de la plataforma".Para evitar que se utilicen nuestros datos por la debilidad de nuestras contraseñas, Gabriel Bergel acota: "Hay que cambiar las contraseñas cada tres meses como mínimo. Lo segundo es nunca utilizar fechas de nacimiento en las combinaciones, porque es lo primero que intentarán los hackers. Por último, utilizar frases en vez de datos. Por ejemplo, si cuando chico yo jugaba en un columpio amarillo, puedo tener como contraseña: 'quierojugarenmicolumpioamarillo', ya que a mí no se me va a olvidar".
A pesar de lo anterior, Bergel explica que la mejor forma de protección "es tener, al menos, un doble factor de autenticación, como acceder mediante una clave y una huella, por ejemplo. Las formas que hay para realizar una autenticación son: a través de algo que yo sé, como una clave; algo que yo tengo, como las tarjetas de coordenadas que usan algunos bancos; y algo que yo soy, como la huella digital".
Otro ejemplo que utiliza el experto en ciberseguridad es el de las AFP: "Estas utilizan dos claves, una para entrar al sitio y, si quieres hacer un cambio de fondo, te pide otra clave. Ahora, si las dos claves están en la misma base de datos, se vuelve al problema inicial".
Ley de Delitos Informáticos
El economista Mario Farren, ex asesor de Ciberseguridad de La Moneda, ha participado en sesiones el Congreso por la tramitación de la ley de Delitos Informáticos, actualmente en segundo trámite en la Cámara de Diputados.Con el reciente hackeo a BancoEstado, y ahora al sitio de Gobierno Digital, Farren considera que "no parece comprometer los datos personales, pero entrega una alerta más respecto a que hay que seguir invirtiendo en seguridad, tecnología, educación y en estructura".
Agrega que "siempre lo que buscan estos hackers son dos cosas; datos y plata, cualquier institución que los maneje está expuesta todo el tiempo a ataques, y son miles los que ocurren todo el tiempo, solo tenemos conocimiento de los más visibles".
Sobre el proyecto de Delitos Informáticos, menciona que "si usted encuentra en su casa a una persona que no invitó, entró con una ganzúa y está paseándose por el living, eso es un acceso ilícito y no disminuye porque se le pregunte cuál fue su intención. Con esa nitidez necesitamos definir los nuevos ilícitos".