(refrito de un post de Facebook, para fines de conservación)
Para hablar de un «hoax» o bulo cibernético, estoy hablando palabras fuertes. Por suerte, estas se encuentran nada menos que en la misma información oficial que a veces dejan su propio control de daños.
El reportado «hackeo» a la web del Bono Universal padece de dos horrores argumentales, los ordeno de peor a suave.
1.- Si harás la finta que te hackearon, al menos lee las reglas de lo que pretendes defender.
El control de daños a las páginas del gobierno por parte de Deep Security del Perú S.A.C. (la consultora que reportó el «hackeo») ignora una cosa garrafal, que en el cobro del bono no solo está el estado, también los bancos y hay información bancaria que se corrobora con la identidad del beneficiado, siendo así dos burocracias que el delincuente debe pasar.
Dejo algunas de las preguntas frecuentes del bono «yo me quedo en casa» (que comparte sitio con el bono universal), para ilustrar la barrera que una vez suplantados los datos personales, los rateros deben batir.
Es decir, si un delincuente logró robar los datos personales del beneficiario también debió burlar al banco suplantando su identidad. Y esto en muchos casos implica una segunda verificación por el proceso de cobro, por lo cual ya no hablamos de un hackeo, sino un problema de corrupción.
Peor aún, antes del bulo del hackeo hubo mucha gente calificada esperando comunicación con el MIDIS sobre el cobro, lo que acentúa la gravedad del problema anterior. Además que en un control de daños por parte de la ONG Hiperderecho, se reporta que los datos personales siempre estuvieron ahí todo el tiempo, así que el problema no está en las web del gobierno sino en los bancos, sobre todo si muchos de los beneficiados siguieron esperando ser notificados, tanto en la primera fase como en la segunda que incluye el bono universal.
Esto más el punto a continuación, dejan una pregunta muy grande, ¿Por Qué el control de daños es para el MIDIS habiendo mayor responsabilidad en los bancos? Mejor floro pudo ser un ataque vía phishing, más creíble y acorde al contexto. ¿Qué están tapando?
2.- El mensaje habla mucho del mensajero.
Viendo lo anteriormente mencionado, a menos que decidan ellos y el MIDIS no escudarse en el artículo 15 de la Ley de Acceso a la Transparencia y la Información y revelar públicamente los detalles, Deep Security del Perú S.A.C. está defendiendo su chamba en el estado a costa de payasadas.
Y es que dicha empresa tiene por lo menos dos años en los ministerios, especialmente el MIDIS.
Y esto es solo desde el lado del gobierno. Hay cero información sobre qué ocurrió a nivel bancario, ¿Cómo los bancos han validado el cobro, sobre todo a las cuentas «en espera» de ser notificadas según los procedimientos antes señalados?
Hay mucho por hablar aquí que va más allá de simplemente decir «nos hackearon» y mostrar un archivo de Whatsapp que difícilmente tiene validez forense por su naturaleza. Ya hemos tenido demasiados problemas con el gobierno y sus favores al sector privado a costa de nosotros, como para que vengan con otro cuento.
UPDATE: Una entrevista entre expertos no está de más, por si resulta teórico todo lo dicho. Aunque llega a los mismos huecos reportados en el artículo, expande un tanto más sobre las responsabilidades de las partes encargadas del bono.
Una mención especial es la suplantación de identidad mediante el SIM (SIM hijacking), por lo cual los operadores de telecomunicaciones también tienen cierta responsabilidad. Y justo en Abril pasado Osiptel les permitió vender chips sin la verificación biométrica.
Agradecimientos al entrevistado el Ing. Carlos Cárdenas, que me notificó de él en los comentarios de FB.
V de Vergüenza 
Reblogueó esto en Chimera Tech Solutions.
Me gustaMe gusta