La Universidad de la República arregló este viernes de tarde un agujero informático tras el reporte de una vulnerabilidad hallada por un estudiante de la Facultad de Ingeniería. El joven había hecho el reporte a la Unidad Reguladora de Datos Personales en abril del año pasado, pero ese organismo desestimó que representara un riesgo. Este viernes, el Servicio Central de Informática de la Udelar brindó una "solución parcial".

La historia es de Damián Sire. Cuando ingresó en la universidad, en 2016, fue a inscribirse en bedelía para estudiar la Licenciatura en Matemáticas. Allí le dieron un usuario y contraseña para acceder a eva.udelar.edu.uy, el portal donde se informan datos sobre materias que está cursando el estudiante.

Luego fue a la biblioteca para reservar un libro. En ese lugar, le llamó la atención que dispusieran de sus datos personales. A partir de ahí, se puso a investigar por qué sucedía eso. La conclusión que sacó es que toda la información de los datos personales que está en el portal eva.udelar.edu.uy se cruza con el de la biblioteca.

Ingresó en el sitio web de reservas de la biblioteca (biur.edu.uy/F) y se percató de que en esa web no había cambiado su usuario y contraseña. Es decir, con poner su cédula en ambos campos ingresaba. Allí podía ver información personal como: nombre y apellido, correo electrónico, número de teléfono y lugar de residencia.

Muchos compañeros y amigos suyos desconocían esta web. Hasta se contactó con exalumnos que le aseguraban su falta de utilización del servicio. Es decir, cualquiera que conociera la cédula de ellos podía acceder a su información personal.

Sire, que ahora estudia Ingeniería en Computación, hizo un experimento. A 14 amigos suyos les pidió su cédula y su consentimiento para comprobar si podía acceder a su cuenta. Eran estudiantes que habían iniciado sus estudios en la Udelar entre 2016 y 2019. Y pudo hacerlo. “Uno de ellos se sorprendió”, comentó. Accedió a datos personales como sus nombres y apellidos, dirección de su residencia, número de teléfono y correo electrónico.

Desde Cromo también se experimentó. Dos antiguos estudiantes de la Facultad de Ingeniería y de la carrera para Contador Público que egresaron en 2009 y 2010 de la Udelar aseguraron que desconocían esta web, facilitaron sus cédulas y se verificó que en el sitio estaba la información personal.

Sire dijo que las cédulas son “fáciles de conseguir”. De hecho, mostró a Cromo cómo podía acceder a una base de datos amplia de estudiantes y que esto, para un ciberdelincuente, podría ser sencillo.

¿Qué haría un ciberdelincuente con esta información? Podría utilizar todos los correos electrónicos de los estudiantes y confeccionar un posible ataque de phishing (el cuento del tío en internet). Es decir, engañar a los clientes haciéndose pasar por la Udelar, por ejemplo.

“Esos datos no solo pueden ser aprovechados por ciberdelincuentes. También pueden utilizarse para hacer marketing. Lo importante es cómo a nivel de las instituciones todavía no se tiene conciencia de la protección de los datos de las personas, no importa si estos son críticos o no”, comentó Maximiliano Alonzo, docente de seguridad informática en la Universidad Católica.

La denuncia ante las autoridades

Sire estaba preocupado. Quería que esos datos no siguieran apareciendo.

Le escribió al Centro Nacional de Respuesta a Incidentes de Seguridad Informática (Certuy), un organismo que está en la órbita de la Agencia de Gobierno Electrónico y Sociedad de la Información (Agesic) de Presidencia de la República.

Le respondieron en menos de una hora. “Me llamó la atención la rapidez”, comentó.

Lo que se armó fue un expediente en la Unidad Reguladora y de Control de Datos Personales (Urcdp), otro organismo que opera en la órbita de Agesic. El expediente tiene fecha de 29 de agosto de 2019.

"La contraseña preasignada puede ser cambiada en forma inmediata a la creación del usuario, razón por la cual no existe riesgo alguno en el acceso por parte de terceros. Es carga de los estudiantes el cambio de la contraseña, cuestión que además les es sugerida expresamente en las bedelías respectivas", comentó.

La Unidad agregó que era un "error" calificar esos datos como “sensibles”. "Ninguno de los conceptos referidos en la denuncia reflejan datos sensibles", señaló.

Dijo además que el denunciante y cualquier otro usuario del sistema están en condiciones de realizar el cambio de contraseña. Por lo tanto, "el supuesto riesgo denunciado desaparece por completo", argumentó.

Y concluyó que la Universidad de la República no había "incurrido en ningún supuesto que implique vulnerar la protección de los datos personales del denunciante".

Sin embargo, el Servicio Central de Informática de la Udelar (Seciu) sí detectó que había un problema riesgoso para los usuarios.

La hora de arreglarlo

Sire publicó un post en el sitio reddit.com contando detalles de este inconveniente. También lo hizo en un grupo privado de Facebook. Algunos usuarios comentaron indignados sobre esta situación y aseguraban que no estaban enterados de la existencia de esta web.

La información del error se viralizó este jueves. Tanto que llegó a las oficinas del Seciu. Mariela De León, directora interina del Seciu, confirmó a Cromo la noticia y resolvió ocultar la información personal del perfil de los usuarios. Es decir, cuando uno ingresaba a la cuenta ya no aparecía la dirección personal, el correo electrónico ni el teléfono.

“Lo que hicimos fue una solución parcial”, comentó y agregó que tienen presente los problemas que presenta el software de la biblioteca, que tiene más de 11 años de vida y no recibe actualizaciones periódicas.

“Lo que tiene de debilidad el software es que no te obliga a cambiar la contraseña y no caduca”, comentó.

Luego de la comunicación con Cromo, el sitio web fue dado de baja. “El servidor no puede atender su solicitud temporalmente debido al tiempo de inactividad de mantenimiento o problemas de capacidad. Por favor, inténtelo de nuevo más tarde”, dice.

Ahora, están abocados a solucionarlo.

Comunicado de la Udelar

Cuatro días más tarde de que se publicara esta información, la Udelar divulgó un comunicado en el que confirma todo lo sucedido..

Aseguran que una vez que fueron puestas en conocimiento del tema, se ocultó la visualización de la información personal de los perfiles de usuarios del Biur, dar de baja momentáneamente la consulta web para prevenir incidentes y trabajar en la reasignación masiva de contraseñas incluyendo nuevos protocolos de entrega.

De todas formas, aclara que es una información "errónea" cuando se establece que la web de la Biblioteca y el Entorno Virtual de Aprendizaje (EVA) cruzan datos. "El EVA y el Sistema de Gestión Administrativa de la Enseñanza (SGAE) no comparten la autenticación de usuarios directamente con el BiUR. Tanto el EVA como el SGAE trabajan de manera compartimentada, con criterios de seguridad que siguen los estándares internacionales y continúan su funcionamiento con normalidad", asegura.

Además, informan que no hay una actividad ilegal de parte de la institución. "El dictamen de la Unidad Reguladora y de Control de Datos Personales (URCDP) concluye que no existe incumplimiento de la Ley 18.331. No obstante, la Universidad entiende que es necesario corregir aspectos relativos a la seguridad del sistema BiUR y se encuentra trabajando en ello", dicen.