"No al hurto de celulares" es una campaña que desde hace un par de años impulsa el actual gobierno en cabeza del Mintic. En este proceso se han implementado regulaciones como el registro de celulares y la creación de una base de datos "positiva" y de una "negativa" que por medio del IMEI del celular permitiría saber cuáles celulares están en manos de sus legítimos dueños y cuáles son robados. Precisamente para indagar si el celular aparece como robado cualquier persona puede consultar en la página www.imeicolombia.com.co esto, usando el número de IMEI que aparece reportado como tal en la base de datos negativa. Si leemos las noticias recientes surgen preguntas sobre la seguridad de estas bases de datos y la forma cómo se disponen al público. Se me ocurren al menos las siguientes:
- ¿Por qué una página promovida por el Estado para el desarrollo de una política pública no usa HTTPS (Protocolo seguro para la navegación web)? Sobre todo si este portal está ofreciendo información que en ciertos casos puede ser sensible. El no uso de estos protocolos y las malas prácticas que se evidencian en esta plataforma podrían permitir a un atacante capturar los IMEI consultados y luego utilizarlos para suplantar un celular.
- ¿De quién es la página www.imeicolombia.com.co?, ¿del Estado?, ¿de un tercero?, ¿de un consorcio entre el Estado y los operadores? Cuando ingresamos a la página y queremos leer el "aviso legal" éste no lleva a ninguna parte. Si siguiéramos el sentido común, deberíamos sospechar de esta página, parece creada por cualquier simplemente con el propósito de capturar datos.
Cuando la página no respeta las buenas prácticas mínimas de seguridad de la información y no cumple con la ley publicando sus políticas de manejo de datos personales, no podemos saber si al ingresar allí un número de IMEI este no está quedando almacenado para ser usado por terceros. Como mínimo el gobierno no está trabajando con el ejemplo.
- Pero acá surge el otro problema, si esta es una página del gobierno, ¿por qué este portal no está bajo el dominio .gov.co?, ¿por qué no tiene los logos de las entidades encargadas del mismo y los términos de uso claros, visibles, consultables?, ¿por qué cuando en Colombia estamos hablando de Ciberseguridad esta plataforma no parece cumplir con normas básicas de seguridad?
Es más, esta página ni siquiera cumple con los estándares de la famosa Estrategia de Gobierno en Línea y de su Manual 3.1 para sitios del Estado. Si no fuera porque el propio ministro Luna lo está promoviendo por radio y televisión yo desconfiaría totalmente de esta plataforma en su estado actual y no recomendaría su uso.
No podemos saber si al ingresar un número de IMEI
en www.imeicolombia.com.co
este no está quedando almacenado para ser usado por terceros
Sabemos que el gobierno adelanta esfuerzos enormes en las discusiones sobre Ciberseguridad y al interior de estas discusiones siempre aparece que el ciudadano de a pie es el más vulnerable. Si esto es así, no se entiende como un proyecto de ellos, que se refiere a información de sus ciudadanos no tenga las mínimas preocupaciones de seguridad. Por otro lado, si la creación de este tipo de herramientas está en manos de terceros ¿acaso ellos no están igualmente obligados por la ley de protección de datos?, ¿acaso no debiera el Estado exigir estándares mínimos de seguridad? Cuando hacemos estas pregunta y vamos a la página en donde se explica la campaña "antihurto de celular" las preguntas no se responden, personalmente las dudas sobre la seguridad en la forma de manejo de las bases de datos aumentan.
En el sitio web aparecen dos listados de celulares: el positivo que contiene los datos completos del dueño o de quien registró el celular, y el negativo con los IMEI bloqueados. Por cuestiones de transparencia y seguridad del Mintic en la Resolución 4813 de 2015 (donde la CRC hace modificaciones a la implementación de las regulaciones sobre las iniciativas en contra al hurto de celulares) debería estar contemplado también todo el componente de seguridad frente al manejo de la base de datos de este tipo. Se debería establecer su cadena de custodia y otras normas que prevengan que ésta información corra riesgos. Dejar esta administración a un tercero sin condiciones sobre estos temas, es dejar que el tercero decida si hace o no implementaciones seguras. El resultado son sitios como el que estamos comentando.
Evidentemente Mintic y los operadores intentan frenar el tráfico de celulares por medio de regulaciones, creando bases de datos como estas o implementando restricciones a las importaciones. Sin importar estos esfuerzos el mercado negro encuentra la forma de saltarse estas regulaciones. Es fácil cambiar los IMEI de los celulares robados y conseguir facturas "válidas" para con ellas registrar el celular robado. De esta forma lo que parece una solución es sobre todo el gran dolor de cabeza para las personas que no se enteran que deben registrar su celular. No creo que mi abuela sepa qué pasó si su celular queda bloqueado por haber olvidado registrar su celular con el operador de turno, ella si que va a estar perjudicada en 2016.
http://redpatodos.co/
@redpato2
http://www.facebook.com/RedPaTodos
RedPaTodos es un colectivo de organizaciones e individuos de la sociedad civil que promueve un uso incluyente de Internet y aboga por el respeto a los derechos fundamentales y las libertades civiles de todos los colombianos en el entorno digital.
Este artículo está licenciado CC-BY-SA 2.5 Colombia. Usted puede copiar, distribuir, ejecutar y comunicar públicamente este artículo, incluso si el uso que hace es comercial, siempre y cuando de los créditos correspondientes. Puede hacer obras derivadas si la nueva obra es distribuida con una licencia idéntica a esta. Para conocer el texto completo de la licencia visite http://creativecommons.org/licenses/by-sa/2.5/co/