En la Provincia de Córdoba tenemos el triste privilegio, desde hace casi 30 años, de contar con un Consejo Profesional de Ciencias Informáticas de matriculación obligatoria (el CPCIPC). En virtud de una ley que supieron lograr en el año 1987, regulan el ejercicio de «la profesión informática» (como si tal cosa pudiera siquiera definirse). Sí, en Córdoba para desarrollar profesionalmente cualquier actividad relacionada con la computación hay que tener un «título habilitante» y pagar la matrícula del Consejo Profesional.

Hace unos días, y desoyendo la voz de especialistas, la Legislatura de Córdoba aprobó una ley que ordena el uso de voto electrónico en las elecciones provinciales. Amén de implementar un sistema más que cuestionado, la norma pone en manos del CPCIPC la fiscalización (limitando la posibilidad de ser fiscal informático partidario a quienes estén matriculados) y seguramente sea también el CPCIPC quien asuma el rol principal en la realización de las auditorías del sistema informático a utilizar.

Lo que sigue es un ejemplo más del lamentable nivel de los informáticos nucleados en el CPCIPC.

El sitio web del CPCIPC

El programador Federico Heinz (que hace unos días publicó una excelente nota sobre el tema) hizo notar en Twitter que el sitio del CPCIPC tenía un ridículo sistema de autenticación para el acceso de los matriculados:

No pasó mucho tiempo hasta que algunos tuiteros comenzaron a ingresar al sistema usando los números de matrícula de las autoridades del CPCIPC (publicados en el mismo sitio) y su DNI (dato fácilmente obtenible si se tiene el nombre completo de la persona).

@pitersoap @mis2centavos POR FAVOR NO ENTREN. La seguridad es patética, pero no es razón para violarla. — Fede Heinz (@fheinz) 10 de enero 2017

De nada sirvió el pedido de Federico Heinz, para algunos la tentación fue muy grande:

Alguien más encontró un error todavía más grosero: en el sitio del CPCIPC había un script que permitía descargar cualquier archivo del sistema que fuese accesible por el servidor web:

Este es el código del script «downloader.php» que se encontraba en el servidor:

¿Cómo es que los sesudos profesionales del CPCIPC cometieron este error digno de un principiante? Fácil: copiando y pegando código de la documentación de PHP:

Pero evidentemente, los errores en el sitio del CPCIPC no se agotaban. Unos minutos después, ya alguien había modificado el contenido (reemplazando las fotos de las autoridades por la del dueño de la empresa MSA Sergio Angelini, vendedora de voto electrónico):

Más tarde, el sitio del CPCIPC ya estaba completamente «defaceado«:

Hoy por la mañana, parece que ya estaban solucionando los problemas (o al menos algunos de ellos):

Solución de los guardianes monopólicos de la seguridad informática: eliminar la posibilidad de que los usuarios/colegiados se logueen pic.twitter.com/5bjVKSH850 — Delia Ferreira (@DeliaFerreira) 10 de enero de 2017

¿Algo más? Sí. Como era de esperar, y para completar la vergüenza, el servidor del CPCIPC ya había sido crackeado con anterioridad, por alguien que lo infectó con software que lo convierte en parte de un red de máquinas esclavas (botnet):

@cpcipc buenas muchachos, se les metió una porquería en el webserver vaya uno a saber hace cuanto https://t.co/JSPG4br5LY /lib/libudev.so — mega (@iglosiggio) 10 de enero de 2017

@cpcipc de paso miren el crontab — mega (@iglosiggio) 10 de enero de 2017

(Si, el servidor del CPCIPC podría ser usado por terceros para realizar ataques distribuidos de denegación de servicio. En definitiva, quienes lo descubrieron les hicieron un favor).

Conclusión

Esta es la gente que amenaza con denunciarme por «ejercicio ilegal de la informática» por presentarme en el Congreso de la Nación como programador y especialista en informática:

Es la gente que «tutela el ejercicio de la profesión» y realiza inspecciones en la Provincia de Córdoba para determinar quién puede trabajar en informática y quién no:

También es la gente que se dedica a promocionar el sistema de voto electrónico de la empresa MSA y se ofrece a auditarlo en las elecciones:

Y es la gente que, gracias a la nueva ley provincial, tendrá el monopolio de la fiscalización electrónica en las votaciones por venir.

Gente que no puede implementar razonablemente un sistema de usuario y contraseña para autenticar a sus matriculados. Gente que no puede escribir una aplicación siguiendo los lineamientos básicos de seguridad. Gente que no puede ni siquiera mantener un servidor web sin transformarse en el hazmerreír de los programadores del resto del país. Ese es el Consejo Profesional de Ciencias (o «Carencias«) Informáticas de la Provincia de Córdoba.