SANTIAGO, agosto 28.- El ya famoso “hacker” de ChileCompras, Gino Rojas Tillemann, recibió este mediodía el veredicto del jurado, que si bien lo encontró inocente de intentar extorsionar al Estado por $500 millones, determinó que sí había cometido un delito informático al detectar y denunciar una falla de seguridad que ponía en jaque a las miles de licitaciones públicas que se realizaron en la plataforma en el año 2007.
Durante la sesión, realizada en la sala del Cuarto Tribunal de Juicio Oral en lo Penal de Santiago, la magistrada Claudia Bugueño expicó que por unanimidad, el tribunal resolvió condenar a Rojas, como autor del delito contemplado en el artículo 2° de la Ley de Delitos Informáticos, que castiga hasta por 5 años de cárcel a quienes con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo interceptan, interfieren o acceden a él.
Para Rodrigo Gutiérrez, experto en seguridad que tuvo acceso al video del "hackeo", esto sienta un mal precedente puesto que ChileCompra es un servicio de acceso público y deberían estar indicados los sectores que son "sólo para personal autorizado" o, mejor aún, deberían contar con una forma para restringirlos sólo a algunos usuarios. “Cualquier navegante podría cometer el error de hacer click en un link y luego ser culpado de hackeo”, explica.
Como cuenta Gutiérrez, en sistemas críticos es normal ver advertencias del tipo Restricted access, authorization required. “Con ese simple mensaje le das a conocer al navegante que está entrando en un área restringida y que requiere una autorización. Si no existe, es como que te pasaran un parte por estacionarte mal sin que exista ninguna señalética”, reflexiona.
El veredicto dice que en forma reiterativa y automatizada, Gino Rojas “accedió ilícitamente a un número de cotizaciones que alcanza aproximadamente a 333.871. Para ello, obtenía números identificatorios que no son de acceso público, para luego, conocer el registro del cuadro comparativo de las ofertas “abiertas” y “cerradas”, circunstancia prohibida por las condiciones de uso del portal”.
En un análisis publicado en Terra hace casi un año, el mismo Gutiérrez explicó que el módulo de cuadro comparativo de ChileCompra poseía una vulnerabilidad de validación de entrada que permitía a cualquier usuario registrado ver información crítica, la cual incluía las propuestas técnicas y económicas de otros competidores antes de que el proceso de licitación terminara.
“La vulnerabilidad se explotaba mediante el intercambio manual del identificador de un proceso de licitación inactivo por el identificador de un proceso activo. Claramente el módulo estaba activo desde mucho antes que se descubriera la falla y era probablemente vulnerable desde su construcción”, añadió el experto.
Por lo mismo, según el experto, es necesario determinar si esta vulnerabilidad fue o no utilizada por proveedores malignos para tener ventajas por sobre sus competidores. “Esto permitiría validar los procesos de adquisición realizados durante el tiempo que esta vulnerabilidad estuvo disponible”.
En la oportunidad el experto concluyó que "parece claro que de no ser por la denuncia de Rojas, ChileCompra nunca se hubiera enterado y quizás estaría vulnerable hasta el día de hoy, permitiendo a usuarios maliciosos tener importantes ventajas competitivas frente a los mas honestos".
Por Anita Arriagada
Nueva tecnología
Ver Video del hackeo a ChileCompra
El juicio del Hacker de ChileCompras
Envía Terra al 2424 y descarga los mejores contenidos para tu celular.
