Hackeo en CCSS enciende alarmas en seguridad de datos personales
¿Cuán segura está la información de los ciudadanos en las bases de datos de las entidades estatales?
La pregunta está en el aire después de que la Caja Costarricense de Seguro Social (CCSS) denunciara haber sido víctima de unhackeoque comprometió los datos de 500.000 registros del Sistema de Recaudación Centralizada (Sicere).
El caso, que fue remitido al Ministerio Público del I Circuito Judicial de San José, pone al descubierto las debilidades de seguridad en el Sicere.
Son falencias que se pudieron haber atendido con anterioridad como controles con cada dirección IP que ingrese a la plataforma, según expertos consultados por Ef.
Vulnerabilidad
Los ataques se registraron el 13 de marzo y el 26 de mayo de este año, cuando se generaron 'accesos masivos e indiscriminados a la base de datos Sicere', denunció la CCSS.
El Sicere lleva el registro de los afiliados de la CCSS, ejerce el control sobre los aportes del Régimen de Invalidez, Vejez y Muerte, pensiones complementarias, enfermedad y maternidad, fondos de capitalización laboral y las cargas sociales.
En la denuncia, de la cual EF tiene copia, la institución indica que el robo de información se produjo en el Histórico Laboral, 'utilizando acceso y autenticaciones diferentes de las establecidas, excediendo los privilegios de acceso a datos que usualmente tendría el usuario autorizado'.
De acuerdo con la entidad, la intromisión se dio por parte de funcionarios del Banco BAC San José, cuando enviaron solicitudes masivas de información y consoftwaretipo robot lograron acceder a los datos de más de 522.000 afiliados.
El 13 de marzo se contabilizaron 37.974 peticiones y el 26 de mayo fueron 151.990 solicitudes de acceso a los servicios de la Oficina Virtual. Mientras que el promedio diario es de entre 100 y 200 consultas.
Acciones
Emilio Bogantes Vásquez, ingeniero en sistemas de información de la compañía Baum Digital, afirmó que este caso refleja que no se están aplicando correctamente los protocolos de seguridad para el resguardo de la información.
La protección de la información se rige a partir de los pilares de la seguridad que son la confidencialidad, la integridad y la disponibilidad, los cuales fueron violados con este ataque.
La entidad bancaria tiene autorización para acceder al sistema, sin embargo su acceso está restringido a un número de consultas diarias, cifra que fue ampliamente sobrepasada y fue cuando la CCSS se dio cuenta del problema y lo atribuyó a unhackeo.
'En mi...
Para continuar leyendo
Solicita tu prueba