chilecompra

Falla de seguridad permitía “espiar” a la competencia. El sitio de compras públicas del gobierno estaba diseñado de tal manera que, con un sencillo truco, permitía saber qué precios y productos estaba ofreciendo la competencia en las distintas licitaciones. Hablamos con el informático que descubrió la vulnerabilidad -y que hoy está siendo procesado por la justicia- y con un experto en seguridad que analizó el problema.

Ganador del premio a mejor sitio web del gobierno en el 2005, premiado por Naciones Unidas por contribuir a la transparencia en el servicio público, destacado por el Banco Mundial y por la APEC (Foro de Cooperación Económica del Asia Pacífico), ChileCompra se consolidó como una de las joyas tecnológicas del Gobierno. Esto, hasta que en julio de 2007 se reveló una grave vulnerabilidad de su sistema, que podía permitir que un proveedor “espiara” las ofertas de su competencia para luego ajustar su propuesta.

Hoy Gino Rojas Tillemann, el “hacker” que descubrió la falla de seguridad, se encuentra imputado por la Ley 19.223 de delitos informáticos y el vulnerable sitio www.chilecompra.clhecho por Sonda-, en julio de este año fue dado de baja y reemplazado por www.MercadoPublico.cl, una plataforma desarrollada internamente en la dirección de ChileCompra con apoyo de tres empresas externas: Everis, América XXI e Inglotec.

Terra habló en exclusiva con Rojas Tillemann y analizó la falla con el experto en seguridad Rodrigo Gutiérrez. Aquí les contamos qué tan fácil era vulnerar al sitio web estrella del Gobierno y, más grave aún, al sistema de licitación pública que durante 4 años realizó transacciones por más de US$4.500 millones entre las cerca de 900 entidades públicas y sus 80 mil proveedores.

El “hackeo” a ChileCompra

El módulo de cuadro comparativo de ChileCompra poseía una vulnerabilidad de validación de entrada que permitía a cualquier usuario registrado ver información crítica, la cual incluía las propuestas técnicas y económicas de otros competidores antes de que el proceso de licitación terminara.

“La vulnerabilidad se explotaba mediante el intercambio manual del identificador de un proceso de licitación inactivo por el identificador de un proceso activo”, explica Rodrigo Gutiérrez (www.secure.cl), experto en seguridad informática con más de 9 años de experiencia internacional, quien analizó el video. “Claramente el módulo estaba activo desde mucho antes que se descubriera la falla y era probablemente vulnerable desde su construcción”, añade el experto.

Según Gutiérrez, es necesario determinar si esta vulnerabilidad fue o no utilizada por proveedores malignos para tener ventajas por sobre sus competidores. “Esto permitiría validar los procesos de adquisición realizados durante el tiempo que esta vulnerabilidad estuvo disponible”, asegura.

“ChileCompra en especial, debería preocuparse de utilizar metodologías comprobadas en el desarrollo de software seguro y QA (Quality Assurance). Además de seguir las buenas prácticas y siempre ejecutar una auditoria de seguridad externa sobre cada nuevo módulo o pieza de software incorporada”, añadió el experto. “Recordemos que el trabajo y dedicación de quienes envían propuestas para participar en licitaciones públicas se ve pisoteado por quienes tienen la capacidad de utilizar a su favor este tipo de vulnerabilidades”, señala Rodrigo Gutiérrez.

Según Andrea Valdivia, actual jefa de Tecnología y Desarrollo del organismo público, a principios de noviembre de 2007, fue la ChileCompra quien presentó una denuncia ante el Ministerio Público respecto de posible intrusión por parte de terceros a la plataforma. “En la fecha en que ocurrieron estos hechos, la operación de la Plataforma Tecnológica estaba a cargo del consorcio Sonda – Iconstruye, cuyos sistemas de monitoreo de intrusión (IPS) alertaron sobre el ingreso del hacker. Asimismo, en relación a este hecho no tuvimos ni hemos tenido reportes de usuarios que hayan sido perjudicados por este tema, y los sistemas de seguridad permitieron detectar la brecha, al hacker y operar rápidamente con el Ministerio Público, dadas las características del delito”, explica.

Sin embargo, el experto en seguridad Rodrigo Gutiérrez cuestiona esta versión: “Me parece extraño que tengan una regla de monitoreo sobre una aplicación que no tenían idea que era vulnerable, más aún cuando no se podría haber utilizado una regla de detección genérica, ya que la consulta era completamente válida”.

“En otras palabras lo que quiero decir es que de haber creado una regla para la vulnerabilidad, lo tendrían que haber hecho manualmente. ¿Por qué perder el tiempo creando reglas de IPS en vez de parchar la aplicación?”, se pregunta Gutiérrez agregando que esta vulnerabilidad no tiene nada que ver con el “ingreso” de hackers, sino con una mala validación de los datos que se le pasan a la aplicación web. “Siento decirlo pero esta historia no es consistente”, afirma.

“Parece claro que de no ser por la denuncia de Rojas, ChileCompra nunca se hubiera enterado y quizás estaría vulnerable hasta el día de hoy, permitiendo a usuarios maliciosos tener importantes ventajas competitivas frente a los mas honestos”, concluyó el experto.