AFIP entrega notebooks con conexiones a sus bases de datos
Hoy quiero comentar una noticia que celebro pero por el otro lado lamento en su forma de implementación: AFIP (el ente recaudador argentino) recientemente ha lanzado una campaña publicitaria para favorecer el trabajo en blanco y con el objetivo de combatir la informalidad laboral.
Más allá de la connotación política del tema y que no me importa tratar aquí, el ejecutivo nacional presentará, hoy 26 de enero, "el programa Registrado Digital con el objetivo de suministrar a los inspectores recursos tecnológicos necesarios que permitan contar con los datos en tiempo real".
Tecnológicamente esta medida contempla "la entrega de computadoras personales a los inspectores y permitirá conectarse a la base de datos para subir las denuncias".
Resumiendo, esto significa que un inspector tendrá una conexión directa entre una computadora de uso personal y las bases de datos de AFIP.
¿Cuántos de estos inspectores guardarán su usuario y contraseña de la aplicación, base de datos, VPN, o lo que sea que se utilice para evitar tener que reescribirla? o ¿Cuántos escribirán estos datos en un papel próximo al equipo o pegado debajo del mismo?
Asumiendo que eso no sucederá porque serán capacitados y asumiendo que la información será transmitida en forma cifrada y no podrá ser interceptada, de todos modos es imprevisible lo que le pueda suceder con los datos almacenados y registrados en el equipo físicamente, ya que más allá de las medidas de seguridad con las que cuente, no podrá estar asegurada 100% contra infecciones, keyloggers, robo de contraseñas y... robo del equipo físico, etc.
Si a eso sumamos que es altamente probable que ese equipo sea utilizado también en la casa del inspector (las estadísticas demuestran que cualquier usuario normal lo hace tarde o temprano), significa que los datos (¿personales?) de la denuncia estarán en un ámbito sin protección ni medidas de seguridad casi todo el tiempo.
Por otro lado, teniendo en cuenta que el dinero para un viaje de la presidente del país era llevado físicamente a la casa de un empleado del gobierno y fue robado, que datos de una reunión fueron filtrados a través de post-it pegados en una carpeta, que AFIP cometió un error básico y garrafal en el tratamiento de datos biométricos de los contribuyentes y que tenía códigos fuentes y CUIT disponibles públicamente pero luego decidió eliminar (a pesar de que supuestamente eran públicos); todo ello me lleva a pensar si será seguro darle una notebook a un empleado para que registre mi denuncia.
Sólo eso, preguntas de un paranóico y si alguien tiene más información sobre la forma de implementación del procedimiento, será bienvenido en los comentarios.
Cristian de la Redacción de Segu-Info
Más allá de la connotación política del tema y que no me importa tratar aquí, el ejecutivo nacional presentará, hoy 26 de enero, "el programa Registrado Digital con el objetivo de suministrar a los inspectores recursos tecnológicos necesarios que permitan contar con los datos en tiempo real".
Tecnológicamente esta medida contempla "la entrega de computadoras personales a los inspectores y permitirá conectarse a la base de datos para subir las denuncias".
Resumiendo, esto significa que un inspector tendrá una conexión directa entre una computadora de uso personal y las bases de datos de AFIP.
¿Cuántos de estos inspectores guardarán su usuario y contraseña de la aplicación, base de datos, VPN, o lo que sea que se utilice para evitar tener que reescribirla? o ¿Cuántos escribirán estos datos en un papel próximo al equipo o pegado debajo del mismo?
Asumiendo que eso no sucederá porque serán capacitados y asumiendo que la información será transmitida en forma cifrada y no podrá ser interceptada, de todos modos es imprevisible lo que le pueda suceder con los datos almacenados y registrados en el equipo físicamente, ya que más allá de las medidas de seguridad con las que cuente, no podrá estar asegurada 100% contra infecciones, keyloggers, robo de contraseñas y... robo del equipo físico, etc.
Si a eso sumamos que es altamente probable que ese equipo sea utilizado también en la casa del inspector (las estadísticas demuestran que cualquier usuario normal lo hace tarde o temprano), significa que los datos (¿personales?) de la denuncia estarán en un ámbito sin protección ni medidas de seguridad casi todo el tiempo.
Por otro lado, teniendo en cuenta que el dinero para un viaje de la presidente del país era llevado físicamente a la casa de un empleado del gobierno y fue robado, que datos de una reunión fueron filtrados a través de post-it pegados en una carpeta, que AFIP cometió un error básico y garrafal en el tratamiento de datos biométricos de los contribuyentes y que tenía códigos fuentes y CUIT disponibles públicamente pero luego decidió eliminar (a pesar de que supuestamente eran públicos); todo ello me lleva a pensar si será seguro darle una notebook a un empleado para que registre mi denuncia.
Sólo eso, preguntas de un paranóico y si alguien tiene más información sobre la forma de implementación del procedimiento, será bienvenido en los comentarios.
Cristian de la Redacción de Segu-Info
Sin contar con que en algún momento la notebook tenga alguna falla y vaya a un servicio técnico poco profesional, dejando el acceso a todo el equipo en manos de un desconocido. Puede pasar con seguridad.
ResponderBorrarSaludos.-
Es una pena ver como invierten millones de dólares de nuestros impuestos en cosas pensadas a medias como ésta, con el fin de darse publicidad.
ResponderBorrarProveer de una notebook (o una tablet que hubiese sido más acertado) está bien, pero sin un sistema sólido que garantice la privacidad y el uso adecuado de la información es tirar nuestra plata. Subestiman los pormenores que son, al fin y al cabo, los que dictarán el éxito o no del sistema.
"Dar notebooks" pareciera ser un símbolo vanguardista que convalida el "adelanto técnico" y tratan de dar el mensaje de "estamos haciendo las cosas bien" pero si las cosas no tienen una base sólida y salen sólo por el apuro de las elecciones el gasto es INJUSTIFICADO.
No sólo es preocupante la pérdida/robo/mal uso del contenido del equipo (la información descargada o cargada localmente) y los accesos del inspector;sino también hay que tomar en cuenta la implementación de los servicios de sesión dado que si la filosofía es "a las apuradas" es sólo cuestión de lógica pensar que además van a exponer servicios automáticos hechos "a medias" para que los hackers se hagan la fiesta.
Me baso en que no es novedad que la AFIP fué, es y seguirá siendo un colador.
Ejemplos:
- Fallo en el sistema de enlace con bancos: podías ver el sueldo de cualquier persona que cobre por cualquier banco.
- Fallo en el registro de sistema biométrico: estuvo meses en línea, tenias una URL donde por GET pasaban el CUIT y un tipo que te permitia obtener: la firma, la foto y... el DNI escaneado!!
- Filtración de Declaraciones Juradas: caso más conocido cuando se filtró el de Cristina Kirchner.
Y una larga lista que está alegremente disponible en google. Se deben sumar además los sitios de terceros (organismos) hosteados por AFIP y tenes una lista bestial de puntos flojos: yo mismo soy testigo de como meten cualquier cosa en los servidores de AFIP. Cito el Sistema Jauke de la ONCCA que cualquier cristiano con clave fiscal nivel 3 (la que se obtiene presentando el DNI en cualquier sede de AFIP) podía ser "Admin" en segundos.
Hablar de seguridad en AFIP es medio utópico.
Particularmente me preocupan sitios como estos:
ResponderBorrarhttp://www.cuitonline.com/
http://sepalo.info/
que publican libremente info del padron. Que si bien es publica, facilitan algunos otros datos que no son publicos.
Me parece que con un VPN a la AFIP para acceso directo al sistema de registro remoto correspondiente (donde no queda información en las notebooks), y sin gateway por VPN a internet (no infecciones), es una configuración bastante simple de restaurar desde un CD/DVD (no necesita técnico). A todo eso, encriptar con truecrypt la partición y se evitan problemas con el robo físico. Nada demasiado complicado y nos evitamos toda esta línea de protesta, para poder seguir enfocados en nuestro laburo que es lo que genera impuestos, jajaja.
ResponderBorrarHola Mario,
ResponderBorrarEfectivamente las medidas de seguridad son simples, el tema es aplicarlas y q dsp el user y pass no queden expuestas por el factor humano.
Cristian
Anonimo, si crees que esos sitios están vulnerando derechos de los ciudadanos (cosa que desconozco) debes denunciarlos a la DNPDP.
ResponderBorrarCristian