SANTIAGO.- Un megáfono blanco sobre un mapa de la ciudad te permite reportar situaciones de "Seguridad" o de "Barrio". Con la primera categoría se pueden alertar saqueos, actividades sospechosas y disturbios desde la casa; con la segunda, podas de árboles, rayado de graffitis y mascotas perdidas, entre otros.
Éstas son algunas de las funciones de Sosafe, la aplicación chilena que este jueves se enteró de ciertas vulnerabilidades de su programación, a través de un informe elaborado por Dreamlab Technologies que fue difundido en el noticiero de 24 Horas.
En la mira del "hacker ético"
En octubre del año pasado, la empresa de seguridad informática Dreamlab Technologies puso a prueba la seguridad de Sosafe. Durante el ejercicio reparó en que el tráfico de los servidores de la aplicación y sus usuarios no estaba cifrado, lo que permitiría acceder a distintos datos de las 100 mil cuentas activas que lo utilizan. Tales como el nombre y el domicilio de quien denuncia algún hecho.
Para Gabriel Bergel, director de estrategia de Dreamlab y quien firmó el reporte entregado a la División Informática del Ministerio del Interior, el protocolo en texto claro no era lo más grave.
"Un colega de Suiza cambió mi nombre de usuario e hizo un reporte a nombre mío, para lo cual solo necesitó mi ID. Si fuera mal intencionado, yo podría impersonar la Municipalidad de Santiago y a nombre de ella decir que hubo un atentado en La Moneda", dice el ingeniero en informática de la Universidad Andrés Bello a Emol, ejemplificando con la cuenta de una de las 14 comunas del país que trabajan con Sosafe.
"No están muy contentos con nosotros", reconoce el denominado "hacker ético", concepto que acuñan las personas o entidades que buscan fragilidades en sistemas y que las informan para su corrección. "Cumplimos con nuestra labor ética, pero también teníamos que reportar esto a la comunidad para que los usuarios se dieran cuenta que muchas veces este tipo de aplicaciones no son muy responsables respecto del uso de la información que es privada o personal", agrega.
La fama del software
"Nosotros nos enteramos de este tema a través de un reportero de 24 Horas, lo que nos pareció súper mal", cuenta Ignacio Canals, socio director de la aplicación lanzada en 2014. "Cualquier hacker ético habría notificado primero a los afectados y lo que vemos, es que esta empresa está tratando de ocupar la fama de Sosafe para buscar marketing para ellos".
Según los creadores del software, la resolución de las vulnerabilidades no fue un problema. Dos días después ya se encontraba disponible una nueva versión del software para Android con lo primordial "atendido y resuelto", y esperaban actualizarlo en App Store.
La traba, en tanto, fue cómo procedió el equipo de Bergel. "No lo conocíamos, ni teníamos ninguna relación con él. No solo nos parece incorrecto, básicamente nos queda claro que cometieron una ilegalidad al hackear nuestra aplicación y documentarlo", señala Canals.
Una legislación de hace 25 años
Según el artículo 2 de la Ley 19.223 promulgada en 1993, que tipifica las figuras penales relativas a la informática, "el que con el ánimo de apoderarse, usar o conocer indebidamente" un sistema, "lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio".
"En este caso, lo que hace esta empresa analista es acceder pero no tiene la intención de causar un perjuicio o una intervención en el sistema. Por eso yo creo, personalmente, que no estarían cometiendo un delito", opina el ex subsecretario de Telecomunicaciones Pedro Huichalaf.
Para el también abogado, el servicio que presta Sosafe a las municipalidades es clave para entender la lógica que tuvo la institución revisora de informar al Ministerio del Interior, pero también distingue un razonamiento de ser influenciador: "Esto es una opinión personal. Hay empresas de seguridad que demuestran su destreza públicamente, para indicar obviamente que eso hacen", dice Huichalaf.
Similar es la respuesta de Pablo Viollier de la ONG Derechos Digitales, quien recalca que la Ley de Delitos Informáticos castiga a quien indebidamente acceda a los programas. En esa línea habría una discusión respecto al objetivo que tienen estos "hackers éticos". "Es algo que recién se establece como una necesidad en la política nacional de la ciberseguridad, de que exista en Chile un protocolo de alertas de vulnerabilidades informáticas", resalta el analista de políticas públicas.
"Nosotros en Derechos Digitales vivimos algo similar con el Ministerio de Transportes, pero notificamos a la cartera de que lo arreglaran y luego de que la vulnerabilidad cibernética estuviese parchada, publicamos el informe", ejemplifica Viollier.
Un año se cumplirá en abril desde que la Presidenta Michelle Bachelet firmó la nueva Política Nacional de Ciberseguridad, asociada al convenio internacional de Budapest. En ella, entre otras cosas, se analizaría cómo distinguir un acto criminal de uno digitalmente ético.
