Caso SII: La noticia… que no fue
Una de las frases sobre periodismo que más me gustan pertenece al actor y dramaturgo español Fernando Fernán Gómez, quien afirma que:
“El periodista debe escribir a gran velocidad, porque si no corre el riesgo de que al llegar al último renglón ya no tenga actualidad el primero”.
Mi editor me recuerda esta cita con ironía cada cierto tiempo cuando me atraso en enviarle mis artículos… pero sin ir más lejos, este caso es la demostración empírica de ello.
Veamos.
Como recordarán, casi un mes atrás hicimos pública a través de esta bitácora una insólita vulnerabilidad en el sitio del SII, donde el uso de un sistema de seguridad relativamente bajo – y considerado obsoleto en la actualidad – como es el cifrado de 40-bits, seguía siendo usado en secciones críticas, como la identificación de usuarios o la emisión de boletas electrónicas.
El descubrimiento no fue casual, sino a raíz de que las últimas versiones de navegadores como Firefox u Opera se negaban a ingresar al sitio del SII por considerar que estarían poniendo en riesgo la confidencialidad de los datos de los usuarios al acceder mediante un cifrado tan bajo. Sólo Internet Explorer parecía continuar operando sin reparar (ni informar) sobre el hecho.
Ahora, salvo una pequeña nota donde nos llamaba la atención que el SII anunciara la adquisición de un certificado de 128-bits (el estándar mínimo considerado seguro en la actualidad) poco después de difundirse esta denuncia, no volví a hacer mención respecto del tema.
Y créanme, no fue por falta de acuciosidad, sino todo lo contrario.
Intuyendo que el caso sería un golpe noticioso (no todos los días se descubre una vulnerabilidad en un sitio considerado el arquetipo de la fortificación informática, ¿no?), propuse a mi editor promoverla a Mouse, lo que tanto me permite – como me exige – realizar una investigación más profunda en nombre del diario.
Así, logré contactar a dos expertos en seguridad de redes, Marcos Kiwi del CLCERT de la Universidad de Chile y Javier Grizzuti, de Juniper Networks, quienes ante mis preguntas confirmaron que – sin ser un fallo crítico – el uso de cifrado de 40-bits se trataba de un riesgo serio que debía ser corregido a la brevedad.
Marcos Kiwi fue más lejos y me contó que ya en 2004, su institución probó que era posible romper un cifrado de 40-bits usando solo un PC en tiempos que iban desde días hasta horas, recordando eso sí que el sitio del Servicio de Impuestos Internos era reconocido por su balance de usabilidad con seguridad.
Con estos datos bajo la manga, intenté obtener una explicación de los principales involucrados: el SII y Microsoft, este último respecto a la (aparente) indolencia de IE7 para advertir a sus usuarios cuando se encuentran sobre un sistema de cifrado inseguro.
Sin embargo, mientras Microsoft mostró una actitud tan amable como diligente para abordar el tema (sobre el que volveré enseguida), el vivir en provincia, las fiestas de fin de año y la escasa difusión de los canales oficiales de comunicación por parte del SII confabularon para que no pudiera contactarlos sino hasta entrado 2007.
Sólo luego de varios correos sin respuesta, un llamado (previsiblemente) estéril a la mesa de ayuda, conversaciones con dos funcionarios locales e incluso una entrevista con el Director Regional (s) del SII – quien fue finalmente el que me contactó con el departamento de comunicaciones de la entidad en Santiago – y tras una semana adicional de espera, pude obtener la declaración que más me interesaba recibir…
¿La sorpresa? En un documento con formato de comunicado, el SII me manifestaba su “compromiso pleno con la seguridad de sus usuarios” y anunciaba que desde el 1º de enero de 2007 todos sus servidores fueron elevados a un cifrado de 256-bits, como parte de un “programa regular de actualizaciones planificado con antelación”.
Así, para fortuna de 14.999.999 chilenos – e infortunio profesional mío – el sitio del SII volvía a ser una fortaleza impenetrable. Ahora, lanzar la noticia tenía tanto interés como informar sobre la caída de un puente… que ya había sido recostruido.
Para los estudiantes de periodismo, observen un mea culpa claro: por factores externos o internos, no fui lo suficientemente rápido. Más bien fui algo torpe, pues asumiendo que un reportaje sobre un tema tan delicado requería semejante grado de investigación, lanzar una nota en Mouse habría sido una opción intermedia que habría puesto la situación sobre la mesa, forzado de paso a los involucrados a actuar de manera inmediata… aún con su (comprensible) molestia.
¿Oportunidad o Profundidad? El eterno dilema periodístico que muchas veces enfrenta a al inexorable reloj de arena que en el gremio tenemos todos sobre el escritorio (en sentido figurado, claro) con la ética de ser responsable en el manejo de la información.
Sin embargo y para no dejarlos con las manos vacías, vamos a responder las tres preguntas que dejé pendientes desde el primer artículo en que mencioné el tema:
¿Hasta qué punto son seguras las comunicaciones del SII?
En este momento, absolutas. Para cuando se lanzó la información, el Servicio todavía utilizaba un cifrado de 40-bits que es considerado casi en forma unánime por los expertos como inseguro dado que puede ser vulnerado con relativa facilidad.
Si el actualizarlo poco después de difundir la vulnerabilidad fue sólo una coincidencia o mi artículo – que ciertamente llegó a manos del SII por vías internas – ayudó a “empujar” el cambio, es algo que permanecerá en la duda.
Lo importante en todo caso es el resultado final: más seguridad para todos los contribuyentes (entre quienes me incluyo… ¡en serio!).
¿Habrá pospuesto el SII la actualización por razones de economía?
Ni idea, pero es poco probable. Como observamos, a poco andar la repartición ordenó la compra de certificados. Según la información que se me reveló en el comunicado, el cambio correspondió más bien a un programa fijado con antelación donde (según asumo) ciertas secciones del sitio quedaron rezagadas.
¿Por qué Internet Explorer 7 funciona sin problemas sobre un cifrado tan bajo sin advertir siquiera a los usuarios?
Este punto es interesante. Tras comunicarme con Pablo Anselmo, gerente zonal para el cono sur en iniciativas de seguridad informática, Microsoft reconoció que IE7 no advierte sobre la rigurosidad del cifrado pues prioriza la necesidad del usuario de acceder a la información.
Personalmente – y remarco el personalmente – no comparto esta opinión, pues creo que dada la generosa porción de mercado que IE posee podría cumplir un rol importante “obligando” a los dueños de sitios Web a actualizar sus sistemas. De hecho, pienso que si IE se hubiere negado a trabajar con el sitio del SII como hicieron Firefox y Opera, podríamos haber visto un cambio aún más acelerado.
Aún así, me aseguró que la firma está preocupada constantemente de mejorar las funciones de seguridad de su software, por lo que no descarta que esto pueda afinarse en el futuro mediante las actualizaciones regulares que realiza Microsoft. Al respecto – y otra vez a título personal – espero que se habilite cuanto antes un indicador del nivel de cifrado.
Por último – y aunque algunos de ustedes crean que bromeo – debo agradecer a Microsoft la diligencia que manifestó en todo momento para realizar pruebas y responder a mis preguntas. Su comunicación fue simplemente notable.
¿La moraleja final? Siempre estar atentos al nivel de seguridad de un sitio Web, en especial si a través de él manjamos nuestros datos financieros como cuentas bancarias o tarjetas de crédito. En la mayoría de los navegadores esto se puede chequear pulsando sobre el candado que indica una conexión cifrada.
Además – y sólo para despejar las dudas de quienes suelen ver las críticas profesionales como ataques personales – no tengo absolutamente nada en contra del sitio Web del SII. Al contrario, admiro la evolución que este servicio ha tenido en los últimos años pasando de ser una repartición gubernamental que daba pesadillas a… bueno, una que sigue dando pesadillas, pero al menos en forma transparente, sencilla y muy eficaz.
Y por cierto, el problema que desencadenó todo esto en un primer momento – la negativa de Firefox 2.0 a trabajar con el sitio del SII sin modificar su configuración de seguridad – quedó resuelto: ahora que toda su red posee cifrado de 256-bits, el zorrito y el SII volvieron a ser amigos.
Nadie sabe para quién trabaja, ¿eh?
Publicado el 15.01.2007 @ 16:43 | 
Categorías: 
Carlos
15.01.2007 @ 17:38
Una arista que no consideras (por modestia, estoy seguro) es que la situación es un ejemplo de un periodista que, aunque debe ser observador, puede haber afectado la historia.
Aunque no hay razón para no creerle al SII de que la actualización había sido planeada “con antelación”, es posible que ellos actuaran en reacción a tu reportaje.
Sea como sea, creo que todos hemos aprendido harto sobre esta experiencia tuya.
Saludos!
J.J.
15.01.2007 @ 18:14
Bueno, si sirve de consuelo, pa “nosotros que te leemos tanto” sí fue una noticia, porque nos enteramos aqui. Los Mousitos se la perdieron no más, por andar leyendo revistas demoronas en editar (no se enoje señor Contreras El Bueno).
Paradoja no más que no podrás enviar la boleta por la noticia que no fue.
SII La Venganza.
Kei Kun
15.01.2007 @ 22:04
Yo opino….
Igual cagazo… si la wea estaba corroborada, poder mandarla como corto iba a ser un golpe, sobretodo que es el caballito de batalla. Obligabas a respuestas rápidas, mas que a una investigacion acabada.
Antes podias, cuando la informacion era mas exclusiva de ciertos medios, pero a la velocidad que existe en la actualidad noticia confirmada es enviada. (Claramente esta entre los criterios de los periodistas el saber si las fuentes son confiables o no … si.. los periodistas tienen algun criterio.)
Pero weno.. si el objetivo era que te contestaran.. tamos.. ok, pero como golpe noticioso.. menos mal que no trabajas en crónica.
Saludos!!!
El Mas Maldito
15.01.2007 @ 23:39
Bacan, pero ¿no era la licitación en chile compras por un cifrado de 128bits?.
James P. Wack
16.01.2007 @ 00:20
Así es la vida, en Chile el robo de ideas es un deporte.
Lo lamento, pero como dijo un compadre más arriva, para nosotros SI FUE NOTICIA. Sin importar que no salga un wn urgido en la portada con letras grandes amarillas, fue una noticia.
Saludos
Gengis Khan
16.01.2007 @ 01:07
Permitanme aclarar algunos conceptos. Existen 2 protocolos para el manejo de paginas, http y https. El primero de ellos es no seguro, o no encriptado, el segundo (https) es seguro, o encriptado. La pregunta es cuantos sitios chilenos utilizan protocolo inseguro, debiendo haber usado seguro. Y de esa forma evitan denuncias como la publicada para el SII. Yo creo que el SII podria haber cambiado su protocolo a http, y pocos se habrian dado cuenta de la situación, y capaz que pensaran que era seguro.
Ahora una pregunta para mi profesor Kiwi. Cuánto sitios web han sido vulnerados por usar nivel de encriptación bajo?….respuesta NINGUNO, esto reconocido por los sitios especializados. O sea, se escuchó algo, no se supo qué, y se tiró una noticia sin mucho conocimiento técnico del tema.
Falta cultura informática en este país, pero siempre es bueno ver al que va mas adelante, para qué? para hacerle zancadillas y chaquetear. Lamentablemente hicieron pasar un mal rato (y tambien un poco de ridiculo) al amigo periodista.
MORALEJA: La ignorancia y la ambición nos nubla, tengamos periodistas preparados
Francotirador
16.01.2007 @ 01:14
Gracias por la verborrea sin fuentes ni fundamento, Gengis. Supongo que bajo el mismo razonamiento, las líneas aéreas que no han tenido accidentes no tienen necesidad de mejorar su seguridad pues van invictas.
Por cierto, ¿quién nos hace el honor de espetar tanta sandez desde la comodidad del anonimato?…
Firma: el amigo periodista.
J.J.
16.01.2007 @ 01:22
Amigo periodista le regalo un link útil:
http://www.anieto2k.com/2006/02/08/plugin-antitroll/
Gengis Khan
16.01.2007 @ 01:30
“Amigo” Francotirador, las líneas áereas usan la seguridad donde corresponde, y áun así existen los accidentes. Por ser periodista te entiendo. Pero lo que te digo es que existen situaciones vigentes muchos mas graves que no usar encriptación, aquellas que solo usan http (recomiendo verificar sitios de pagos, o compras por internet). No te sientas atacado.
Como una forma de colaborar aporto este link.
Y no te molestes….la sabiduria y el conocimiento acepta las diferencias de opiniones, no así la ignorancia
Francotirador
16.01.2007 @ 01:41
Nuevamente gracias Gengis, por iluminarnos con tu trollífica sapiencia.
Gengis Khan
16.01.2007 @ 01:50
Amigo, lo mio no fue “troll”, solo he mencionado lo que aparece en internet openssl.org.
Si le molestó la diferenciación de http y https, lo siento, pero en mis clases he notado que no hay mucha claridad acerca de esto.
Para mi otra aseveración, solo he tomado links acerca de “defaced web sites”, por lo que no es mérito mio.
Si aún así molesto mi comentario, lo siento, pero pensaba que por ser un espacio periodistico, habia un espiritu open-mind.
Mi afán solo fue intentar colaborar.
Disculpen a los que ofendí.
James P. Wack
16.01.2007 @ 02:05
(Sorry J.J. es que se me pegó que la traduccion de “dude” es “compadre”. En chileno debería ser “huevón”, pero es algo insultante creo yo.)
En todo caso a Gengis sólo le falta algo de elegancia para redactar. Así te toman más en serio.
De todas maneras se está perdiendo el punto, que es lo del SII, que luego del Artículo cambiaron su cifrado por uno mejor “por iniciativa propia”. Estimados, que cosas como esta no salgan al mainstream no nos debería extrañar, la gente con suerte sabe que es un computador y que Bill Gates no inventó los computadores.
Saludos!
Gengis Khan
16.01.2007 @ 02:10
Gracias James por centrar el debate
guido_cc
16.01.2007 @ 03:50
Gengis no es troll, pero de que hace méritos…
ZOrba
16.01.2007 @ 09:13
“La pregunta es cuantos sitios chilenos utilizan protocolo inseguro, debiendo haber usado seguro.” Gengis
-Muchos y no por eso esta bien.
“Yo creo que el SII podría haber cambiado su protocolo a http, y pocos se habrían dado cuenta de la situación, y capaz que pensaran que era seguro.” Gengis
- Creeme que muchos lo habríamos notado y no por que la mayoría no lo notara….
“Falta cultura informática en este país, pero siempre es bueno ver al que va mas adelante, para qué? para hacerle zancadillas y chaquetear.” Gengis
-Si hacer una zancadilla o chaquetear para ti es cuestionar un servicio de de extrema importancia, ya sea el SII o una entidad bancaria por una falta descubierta o más bien alertada por los navegadores Firefox y Opera los que se negaban a ingresar al sitio del SII por considerar que estarían poniendo en riesgo la confidencialidad de los datos de los usuarios al acceder mediante un cifrado tan bajo, no deja de ser risible.
Finalmente lo más rescatable y que deja claro la importancia de este caso aunque Gengis no lo pueda entender, es que el SII tomo la buena decisión de que todos sus servidores fueran elevados a un cifrado de 256-bits en beneficio de todos nosotros.
saludos
carlos orrego
16.01.2007 @ 09:20
Quiero insistir en el hecho que sii.cl NO FUNCIONA con firefox.
No se puede emitir factura electrónica con firefox.
500,000 pymes necesitan de este servicio, que solo se puede realzar con EXPLORER.
Esto esta descrito incluso en sus manuales.
les pido por favor apoyo para difundir este atentado a la libertad, y ridículo beneficio a mega transnacionales como Microsoft.
El Mas Maldito
16.01.2007 @ 09:47
En el banco de chile pasa lo mismo, hay funciones en su web que SOLO se pueden hacer con IE… y si llamas y dices que tienes un mac, te dicen cambiase a pc…Plop!
James P. Wack
16.01.2007 @ 10:25
Una de las últimas cosas que le expliqué a un amigo extrangero (para lamentar de él):
“en Chile, cualquier cosa distinta es mala”
ahora lamento utilizar lenguaje no apto para menores, pero en chile importa una raja la minoría “no estás dentro de /todos/ y yo sigo ganando plata”
pero eso no es nuevo
saludos
PD: imagina que gastas 300k$ en un celular inteligente, 2M$ en un Mac y 3M$ en un cluster con linux, y no puedes hacer una pinche boleta, gracias SII, fomentando la ilegalidad
Manuel
16.01.2007 @ 10:33
Desde la perspectiva periodística, creo que Leal se autogolpeó. Para su artículo de la Mouse ya había pasado la vieja desde el momento en que publicó su post. Paradojas de este nuevo periodismo, ¿no?
JJ. yo no me enojo, pregúntale al Franco.
Valericio
16.01.2007 @ 12:24
Despues de leer este articulo me queda la sensacion que el cambio de cifrado de 40 a 256 bits es por tu culpa no mas … por tanto creo y sin ser salamero gracias a tu investigacion estaremos mas seguro cuando entremos al SII
ochovio
16.01.2007 @ 16:39
mmmmm…… te falto mundo FT, ese miedo a arriesgar y hablar sin tanto fundamento te jugo en contra, aun te preocupa el “florerazo”. Con todo el peso que podrias tener en la mouse o incluso en la tercera podrias haber puesto en aprietos hasta al director del SII.
Nuevamente la misma pregunta ¿me hago famoso o sigo siendo la hormiguita?
Ya vas 2 -0 contra la tentacion facil ….y eso me agrada mucho de ti.
samuel
16.01.2007 @ 17:14
hola
al menos periodista amigo…el asunto fue noticia aquí…tuviste la exclusiva si se puede plantear asií y quizás fuiste muy cauto…más de lo necesario…pero en fin…
tirando la raya para la suma…ahroa hemos ganado todos quienes usemos el SII.cl para nuestras transacciones y trámites con sr. Fisco.
saludos.
hyoga
16.01.2007 @ 18:10
El problema no pasa por el “golpe”. De hecho, muchos de los errores periodísticos más conocidos son producto de la “precipitación” más que de la “celeridad”. Apuesto que de haber publicado y salir un desmentido del SII, el más damnificado hubiese sido el autor.
Francotirador fue cauto y no estuvo mal. Creo que el Servicio de Impuestos Internos pudo haber sido más transparente en su accionar y haber avisado que estaba en un proceso de actualizar los certificados digitales de sus servidores. Por otro lado, esta “transparencia” pudo haber provocado una histeria colectiva más grande que el “falso tsunami” en Concepción, haciendo que muchos usuarios no realizaran trámites on-line por mucho tiempo, saturando sus oficinas.
Para terminar, no se trata de una falta de conocimiento técnico. Simplemente es que muchos de los que dicen “saber de seguridad”, realmente no tienen idea de lo que realmente se trata el asunto.
Gengis Khan
17.01.2007 @ 00:23
Querido Christian: lamento que te haya molestado mi intervención de ayer, pero creo que aclarar los conceptos de http y https era bueno, y para los de mente mas estrecha, me faltó indicar que el SII si está en falta (a buenos entendedores, pocas palabras).
Pero lo mas importante y lección de todo esto, es que aún quedan periodistas honestos como tú. Quizás otro habría lanzado la noticia sin entender de lo que hablan (basta mirar a los futboleros), en cambio tu te documentaste, y aunque con poca paciencia, aceptaste la dura realidad, pero creo que tu conciencia está tranquila.
VIVAN LOS PERIODISTA HONESTOS COMO CHRISTIAN
El Francotirador | Blog Archive | Caso SII: La visión de los expertos
17.01.2007 @ 04:33
[...] Aunque el cénit de la noticia se haya esfumado junto con los artificios de año nuevo, el lunes les mencionaba que no quería desaprovechar el excelente material que mis entrevistados aportaron al tema de la vulnerabilidad en cifrado del sitio del SII. [...]
Manolo
17.01.2007 @ 11:57
Buen trabajo… felicidades…
Una noticia puede ser el cobro que hay que hacer de $3.000 mensuales por hacer transacciones vía Internet (por lo menos cunado fui a pregnutar eso me dijeron) el cual se supone es el banco de todos, el Banco Estado …..
iamhere
23.01.2007 @ 18:36
¿256 bits?, ¡que bien!
Pero no me han impedido cambiar la contraseña de n-contribuyentes gracias al infantil sistema de recuperación de la clave mediante preguntas idiotas que la moyoría de los idiotas contestan como idiotas (¿color preferido?, ¿ciudad preferida?, ¿nombre de tu mascota?…)
iamhere
23.01.2007 @ 18:53
A propósito de Idiotas …
Este Francotirador si que es idiota…nos explica cómo mete la nariz en asuntos que no maneja sólo para recibir una buen puntapié en el culo…y cuando alguien le trata de explicar (Gengis) se comporta como una damisela ofendida.