Un fragmento del código del Sistema de Gestión de Solicitudes (SGS) del portal salvadoreño de Transparencia habría sido el responsable de enviar datos confidenciales de ciudadanos a la Casa Presidencial, según un informe de la Unidad de Tecnología del Instituto de Acceso a la Información Pública (IAIP) que publicó la Revista Factum.
“Se detectó en el código del SGS, que existía un fragmento en el que se ejecutaba una tarea para el envío de un reporte a CAPRES con el detalle de las solicitudes recibidas y en proceso solicitadas a las instituciones del Ejecutivo”, explicó la Unidad de Tecnología.
Además, la Unidad aclaró que, al ser detectado, eliminó el fragmento del código para detener el envío, el cual contravenía el resguardo de los datos confidenciales.
¿Qué habría ocurrido?
Para entender cuáles podrían ser las causas que provocaron un caso como este, consultamos con tres expertos en programación y esto fue lo que señalaron:
¿Es posible que un sistema informático de una organización envíe por equivocación datos a una organización ajena?
Evelio Alas, ingeniero en sistemas y programador senior
1. Diseño del Sistema. Muchos sistemas se diseñan para que recopilen información y la envíen por email a los involucrados o los responsables de analizar dicha información, durante el mantenimiento regular de las listas de destinatarios se puede incluir una dirección ajena, regularmente por un usuario.
2. Comunicación vía email. Muchas veces los clientes solicitan información en especial a ejecutivos que ofrecen productos, en donde los reenvíos se convierten en la forma de enviar información equivocada a destinatarios ajenos, ya que mucho ejecutivo ve más fácil reenviar que volver a editar un email.
¿Podría considerarse un error en el funcionamiento de la programación o debe intervenir un programador para que eso ocurra?
3. Cuando existe una mala práctica de programación. Estas fallas de malas prácticas son con base en dolo o buscando un beneficio a cambio de información.
En relación a considerarse un error de funcionamiento de la programación, podría decirse que sí, ya que los sistemas deben filtrar las cuentas email y permitirse solo las de la compañía.
Existen errores de usuarios, involuntarios, por ignorancia o con previa premeditación, teniendo acceso a la lista de destinatarios y agregar cuantos email quiera.
Los elementos que pueden provocarlos son:
Fallo en los filtros del sistema
Error o premeditación del programador
Error o premeditación del usuario
Elementos externos (virus, hackers)
Patricia Rivera, analista programador senior
No creo que sea posible que un sistema informático envíe por equivocación datos a otra organización ajena; es decir, los sistemas informáticos siguen una lógica de programación y es bastante improbable que se genere un flujo diferente al que fue programado. Por otra parte, sí es más probable que el envío de datos a otra organización se dé por un error en la programación y por la intervención del programador.
También considero que estas situaciones de vulnerabilidad de datos se pueden evitar si se realizan las pruebas de funcionamiento de los sistemas informáticos previo a la salida en producción. Es decir, son errores que pueden evitarse si se detectan a tiempo.
David Martínez, analista programador
¿Es posible que un sistema informático de una organización envíe por equivocación datos a una organización ajena?
Si el sistema informático no ha sido diseñado inicialmente para comunicarse con un sistema o servicio de un tercero, no debería enviar información, además de eso, siempre por normas de seguridad a la hora de compartir información con algún tercero siempre debería de Intervenir un ente como auditoría que supervise que la info que se comparte es la que en realidad el tercero necesita.
¿Podría considerarse un error en el funcionamiento de la programación o debe intervenir un programador para que eso ocurra?
Podría ocurrir pero sería un error de diseño de sistemas, también un programador podría provocar que eso suceda dependiendo que tanta libertad y accesos de seguridad poseea.
Comments