01-08-2018 a las 04:00

Poder Judicial denuncia espionaje informático a sus sistemas desde servidores extranjeros

Publicado por: Matías Vega

Archivo | Agencia UNO

La Corporación Administrativa del Poder Judicial presentó una denuncia ante el Séptimo Juzgado de Garantía de Santiago, en donde dan cuenta de supuestos ataques recibidos desde distintas direcciones de internet.

Estos últimos tendrían el objetivo de extraer datos de la plataforma de tramitación de causas a nivel país, que afectan a las plataformas civiles, penales, Corte Suprema, entre otros.

Por el caso, que reveló el periodista Jorge Molina de la Unidad de Investigación de Radio Bío Bío, aún no se han identificado autores ni sus motivaciones, labor que quedó en manos de la Fiscalía Centro Norte.

Con los antecedentes recabados hasta el momento, el Poder Judicial interpuso una denuncia por espionaje informático.

Según la denuncia, han hecho esfuerzos por bloquear los puntos de origen de los “ataques”, logrando sólo una mitigación temporal.

Según el CAPJ, los programas identificados que estarían siendo usados para ingresar a sus sistemas servirían para automatizar consultas manuales con el objetivo de burlar el límite de ingresos que un usuario puede realizar en el sistema.

Asimismo, otro programa tendría la función de intentar modificar los parámetros de consulta judicial para permitir múltiples conexiones lo que, entre otros efectos, ralentiza el sistema a nivel país.

En un informe preparado por la jefa (s) del Departamento de Informática y Computación de la CAPJ, se señala que junto a los problemas de lentitud que provoca esta extracción de datos masiva, también existe un “incremento del costo presupuestario de la institución”.

Por esta razón el PJUD se ha visto en la obligación de invertir en la adquisición de equipamiento de la plataforma de seguridad.

¿Ciberespionaje?

Sin embargo, expertos dudan de que estemos ante un caso de “espionaje informático”.

Para Javier Godoy, ingeniero que actualmente trabaja en Estados Unidos como experto en comercio electrónico, asegura que desde el punto de vista técnico no se podría hablar de espionaje “cuando la información es de acceso público, tal como pasa con muchos sitios, especialmente con el Poder Judicial”.

“Cualquiera puede buscar las causas que una persona tiene tan solo con su nombre y apellido”, indicó.

Carlos Oliva, desarrollador de software independiente y miembro de la consultora Sigma 5, podríamos estar hablando de “scraping”. Ésta es una técnica que se usa para obtener sistemáticamente datos de una web simulando ser un usuario en un navegador común.

Para ello, se usan programas a los que se les enseña a “leer” secciones del sitio web, lo que es muy usado para obtener datos como el valor de la UF o el dólar del día.

“La desventaja que tiene es que es muy dependiente de la estructura de la web que estés leyendo”, explicó. “Si cambian el diseño, tu programa queda inutilizado, y tienes que hacerlo de nuevo, pero es una práctica común y lejos de ser un ataque o hack“.

El Poder Judicial detectó que estos puntos de origen provenían de proveedores como Microsoft, Amazon.com, Digital Cable System, Digital Ocean, lo que, según explica Oliva, se debe a que son servidores “en la nube”, que son de fácil acceso y baratos.

También habrían usado proveedores nacionales, como VTR Banda Ancha, GTD Internet y Movistar, entre otros.

Aportar a la comunidad

Según explica en su blog el informático y experto en ciberseguridad, Fernando Lagos, hay “scrapers” diseñados sin fines maliciosos, con el objetivo de “aportar a la comunidad”.

Según explicó a BioBioChile, esto se podría usar para hacer herramientas que faciliten el acceso a la información.

“Imagina que Poder Judicial no tuviera una aplicación móvil. Una persona podría hacer una que, mediante esta técnica, accediera a información de forma mas cómoda”.

Recuerda también que los motores de busqueda como Google o Yahoo! también hacen scraping, y que “muchas veces se indexa contenido confidencial”.

Cerrarle la puerta al impostor

Entre las posibles soluciones que se pueden considerar para evitar este tipo de prácticas, está el uso de una herramienta conocida que Oliva llama “recaptcha”.

Éste es un filtro que muestra un panel con 12 imágenes de alguna temática, pidiendo al usuario identificar aquellas en que se vea un automóvil o una señal de tráfico.

A diferencia de otras versiones de esta herramienta, según Oliva, el “recaptcha” tiene menos posibilidades de ser sorteada por los programas automatizados.

Respecto de esto, Lagos clarifica que éste “no es un elemento para molestar a los usuarios, sino que previene este tipo de conductas. Es capaz de distinguir entre un programa y un humano”.

Otra opción, indica Oliva, sería usar un sistema “que otorgue credenciales de acceso para poder identificar individualmente a quien hace cada consulta y establecer un sistema de cuotas de uso justo”.

Paradójicamente, les serviría para evitar los daños de este tipo de prácticas al regularlas. “Seria un sistema donde ellos explícitamente autorizan la extracción de datos de forma automatizada, bajo una serie de condiciones que ellos mismos podrían establecer”.

Escucha Radio Bío Bío