Toda información que pueda utilizarse para hacer daño a una persona o que la ponga en riesgo, es información sensible. Por ejemplo que sean beneficiarios de algún dinero.
Si le diéramos esta base datos a un programador, el programador podría venderla. Habrían grupos criminales interesados en saber quien, siguiendo con el ejemplo, va a recibir dinero. Si un tercero puede averiguar que vas a recibir dinero, eso te pondría en riesgo de ser victima de un crimen.
Debido a todo lo anterior, el programador desarrolla la aplicación con datos de prueba.
Si el sitio web sale mal, y el programador hizo lo que le pidieron, entonces no el culpa del programador. Si el sitio web sale mal, y el programador no hizo lo que le pidieron, entonces es culpa del programador. Probablemente el programador hizo lo que le pidieron.
Una vez el programador entregó el sitio web, el despliegue de dicho sitio en un servidor para que se pueda acceder por Internet es otra cosa. Un ingeniero autorizado para ello debe subirlo, junto con la base de datos real, al servidor, y hacer la configuración pertinente.
Claro, antes de hacer esto, el ingeniero debería verificar que el sitio web funcione correctamente. En su defecto el programador no hizo su trabajo, y eso podría tener consecuencias contractuales. Si ese fuera el cazo, no deberíamos llegar al despliegue.
Nota: Vale la pena anotar que muchas empresas contratan desarrollo y despliegue de un sitio web en conjunto. Un desarrollador responsable tendría un entorno de prueba, y solo se despliega al final del desarrollo... No todos hacen eso. Lamentablemente a veces desplegar en Internet es el recurso para mostrar, de forma remota, el progreso del sitio al cliente... en especial de forma asíncrona, cuando el cliente no entiende mucho de informática.
Uno se pregunta si al ingeniero que haría el despliegue lo contrataron por horas.
Nota: Les recuerdo la presunción de inocencia. No atribuir a malicia lo que se puede explicar con incompetencia.
Ah, pero el sitio web permitía consultar la cédula de cualquier otra persona. Hay formas en que un usuario malintencionado pude hacerse con listas de números de cédula por otros medios, y luego consultar las cédulas manualmente... y recordemos que saber quien resulta beneficiado lo puede poner en riesgo de un crimen. Esto es un defecto del sitio web, no de la base de datos.
Yo entiendo que no todo el mundo tiene los medios. Eh aquí un excelente argumento para hacer el acceso a Internet un derecho civil.
Yo sigo pensando que el gobierno debería dar una cuenta de correo eléctrico a cada ciudadano. Que esta cuenta debe soportar firma digital, estar asociada a la cédula, y utilizarse en tramites con el gobierno. Pero esa es otra historia.
Ahora, digamos que tu, como usuario, descubriste que hay un posible crimen del cual hay presunta evidencia en un sitio web.
Si realizar capturas de pantalla o videos, pues existen formas de crear imágenes y videos falsos. Te podrían acusar de ello.
Si vas a dar tu testimonio ante un juez. Bueno, es posible manipular un testigo. Por ejemplo, mediante amenaza.
Debido a esto, queremos evidencia de la que no puedan decir que fue manipulada. Y la queremos lo antes posible. En particular antes de hacer cualquier publicación.
Sigue estos pasos:
- Consigue un software capaz de realizar una captura del trafico de red, tal como el software libre y gratuito Wireshark.
- Empieza a grabar video.
- Inicia la captura de trafico de red.
- Accede al sitio web (no debes estar en el sitio desde antes), y reproduce el problema.
- Guarda la captura de trafico de red en un archivo.
- Calcula un compendio criptográfico (hash) del archivo, de forma que quede grabado en el video.
- Termina la grabación del video.
- Sube el video y la captura de red a un servidor neutral, tal como Mega.nz
- Publica el enlace a donde subiste los archivos, junto con su hash en redes sociales, o lo que sea.
Bajo el supuesto que el sitio web funciona con HTTPS (que mas les vale, y no tienen excusa ya que conseguir un certificado digital es gratis con Let's Encrypt), no hay forma de repudiar la captura de red (de que digan a donde accediste no fue al sitio web). El video hace más fácil interpretar la evidencia. Y el compendio criptográfico permite verificar que la evidencia no fue alterada tras el hecho.
Si no entendiste cómo se hace... Bueno, entre más gente se interese por aprender mejor. Con eso dicho, la alternativa es decirle a alguien que sepa hacerlo.
OK, ahora digamos que eres el administrador de un sitio web, y te enteras que se descubrió un problema. Lo primero que hay que hacer es mitigar el daño. ¿Cómo? Quitando la característica defectuosa. Que en este caso sería la consulta por cédula. Luego se puede trabajar en una solución.
Comentarios
Publicar un comentario