Hace unos días realicé una
compra por Internet, un escritorio muy barato que necesitaba para mi casa. Pasó
más de un mes y el proveedor (si me siguen en Twitter sabrán de quién se trata) no
me enviaba el producto a pesar de que se suponía que en 5 días me entregaban,
por lo que decidí levantar una queja con la PROFECO (para quienes no son de México, la PROFECO es la
institución gubernamental que se encarga de la protección del consumidor).
PROFECO
tiene una plataforma en línea llamada CONCILIANET,
donde los consumidores podemos levantar quejas contra los proveedores para que
la institución nos ayude siendo árbitros en el asunto. Antes de ingresar al
portal, te informan que es necesario que tengas escaneados documentos como
Identificación Oficial, Facturas, Contratos o Garantías y Cualquier otro
documento con el cual se acredite la relación de consumo con el proveedor.
Una vez que ingresé al
portal, previo registro al mismo, inicié con el levantamiento de la queja,
escribí una breve explicación del problema y subí los documentos requeridos
para acreditar mi identidad y la compra de mi escritorio. Después de subir los
documentos, el portal me dio un link por cada uno, y ni tardo ni perezoso
accedí a ellos para verificar que se hayan subido sin error.
De inmediato me di cuenta de
que el link llevaba a una página donde el URL
se conformaba por una dirección IP y el nombre del archivo generado por el
sistema para mis documentos (http://laipdelservidor/343434.pdf), tras abrirlos
todos pude comprobar que los nombres son simplemente números consecutivos.
Curioso cómo se debe ser,
empecé a cambiar los números del nombre del archivo y para mi sorpresa pude
acceder a la información de otros usuarios (no todos los intentos fueron
efectivos, hay muchos nombres que no existen), credenciales de elector,
contratos con domicilios, números telefónicos en contratos, números telefónicos
y nombres de contactos en los contratos, entre otros documentos.
Me asusté, lo siguiente fue
cerrar cesión en el portal de CONCILIANET para verificar que los datos fueran
accesibles sin una sesión abierta, y en efecto lo era, en ese momento me di
cuenta de la gravedad del asunto.
Mi siguiente prueba
consistió en la generación de direcciones masivas, utilizando una herramienta
compleja de generación de urls (nótese mi sarcasmo, lo hice con Excel, al ser
solo números consecutivos en el nombre esa herramienta me fue suficiente) creé
varias decenas de miles de direcciones, para después ingresarlas en un gestor
de descargas.
Lo que buscaba con esta
prueba eran dos cosas: La primera, verificar cuanta información podía descargar
sin ser detectado y la segunda sentirme como un hacker. Con mi computadora
(nada extraordinario) y mi raquítica conexión de internet logré descargar más
de 30 mil documentos (ya los borré, solo era un ejercicio de curiosidad) sin
que nadie bloqueara mis descargas y dudo incluso que se hallan dado cuenta de
que lo estaba haciendo.
He hablado con personas de PROFECO y de INAI (Dependencia del Gobierno que se encarga entre otras cosas, de
proteger los Datos Personales de los
ciudadanos) en los teléfonos publicados en sus páginas, pero los operadores no
están preparados para actuar en un caso como este, lo he estado gritando en
Twitter y tampoco he tenido respuesta, no hay canales diseñados para reportar
este tipo de cosas, a pesar de ser un grave problema de seguridad para los
usuarios de la plataforma.
Si eres usuario de CONCILIANET debes preocuparte, pues
cualquier persona tiene acceso a tu información, si puedes reporta y tal vez
tengas más suerte que yo, si conoces a alguien que haya usado la plataforma
compártele este artículo para que sepan que sus datos están en riesgo.
Hasta aquí la entrada de
hoy, si quieren enterarse de lo nuevo en De
Tecnología y más me pueden regalar un Me
Gusta en el botón de Facebook
que te dejo abajo, también pueden seguirme en Twitter como @el_george__
o como @OficialDtym. Gracias por
leerme, Soy George Maldonado, hasta
la próxima.
Follow @OficialDtym
No hay comentarios.:
Publicar un comentario