domingo, 26 de septiembre de 2010

SIIF, es cierto, tu contraseña no está encriptada

Hace unos días volví a la Contaduría General de la Nación (CGN) después de más de 12 años. Necesitaba hacer un trámite para inscribirme como proveedor del Estado.

Recordaba las tardes que nos pasábamos con Analía presentando las rendiciones de liquidaciones de sueldos de la Universidad de la República con formularios de siete copias, muchos sellos y unos cuantos funcionarios al nivel de cualquier estereotipo.

Esta vez fue mucho más fácil todo. Los requisitos para el trámite estaban en la web, así como el horario y el número de ventanilla en la que había que presentarse.

El trámite fue rápido y el resultado final: un formulario impreso con mis datos desde un sistema informático, para que yo firmara. En ese formulario una clave impresa (9999) que yo debía cambiar para acceder a consultar mis pagos a través de la página de la CGN en Internet.

Así lo hice al llegar a casa, feliz de ver a una de las oficinas más antiguas del Estado uruguayo dispuesta a informar a sus proveedores utilizando las TIC.

El sitio interactúa con el SIIF (sistema integrado de información financiera) por lo que permite tener información en tiempo real de la situación de cada pago en curso.

Pero grande fue mi sorpresa cuando tuve que volver a las oficinas de la CGN para actualizar un dato adicional y aquel formulario impreso que había firmado se volvió a imprimir pero esta vez con mi clave personal - en lugar del '9999' original.

En el mostrador no hubo explicación para esta violación de un principio básico de la privacidad de los datos personales: las contraseñas son personales y deben encriptarse.

Por correo electrónico obtuve la siguiente respuesta:
Montevideo, 20 de setiembre de 2010.

Sr. Boudiño.

Agradecemos su inquietud, sobre el tema.

Con respecto al manejo de contraseñas al que Ud. hace referencia, le comentamos que dicha información se encuentra almacenada en forma encriptada, utilizando un algoritmo reversible para su codificación.

Actualmente nos encontramos en un proceso de revisión de los procedimientos (ya que algunos tienen varios años de implementados), especialmente priorizando la seguridad de la información, aplicando estándares actuales.

El trámite que Ud. indica es uno de los que hemos detectado en este proceso y que se modificará a la brevedad.

En este caso en particular se implementará encriptación no reversible para mejorar su seguridad, lo que no permitirá obtener la clave almacenada, sino que se generará una nueva al momento de realizar el trámite de modificación.

Atentamente,
División Sistemas C.G.N.

En resumen: quedese tranquilo que ni siquiera sabemos como se escribe su apellido, mire que guardamos su contraseña encriptada, pero solo la desencriptamos al momento de imprimirla para que todos la vean, y sepa que en algún momento se implementará algo para "mejorar" "su" "seguridad".

Creo que acá hay cosas que siguen sin entenderse, así que espero que la gente de AGESIC no se olvide de difundir la ley 18.331 también dentro del Estado.
.
.