Condenan a Hacker de Chilecompras Condenan a Hacker de Chilecompras

La justicia es ciega, pero a veces también descerebrada

Condenan a Hacker de Chilecompras

por

La justicia es ciega, pero a veces también descerebrada

¿Te imaginas si manipulando el ID de un producto en la URL de una tienda como Amazon pudieras pagar por un pendrive de 3 dólares y recibir un LCD de 3000? Eso no se llama hacking: se llama hacer un portal transaccional último de ordinario. Pero no hace falta imaginárselo, querido lector, porque así de burdo era lo que ocurría con Chilecompras, el portal de licitaciones públicas con que se busca -que ironía- garantizar la transparencia e imparcialidad con que un proveedor se adjudica un contrato de compra por bienes o servicios. Que no se beneficie al primo del ministro sino al que hace la mejor oferta técnica y económicamente, ponderando estos dos factores en porcentajes definidos de antemano.

El ingeniero informático Gino Rojas Tilleman descubrió  una falla mediante la cual bastaba cambiar el ID de una licitación en curso por el de una terminada para que la primera (de índole confidencial) fuera desplegada como la segunda (en donde puedes ver todas las ofertas de tus competidores). Claramente, si alguien conocía de esta falla podía ganar todas las licitaciones si se lo proponía, ejerciendo una ventaja injusta contra los otros participantes.

Para mí esta falla despierta sospechas sobre los que programaron el portal y sobre los que lo operaban, pensando que nace naturalmente un incentivo perverso para que un oferente corrupto y un operador igualmente malintencionado explotaran la falla en silencio durante años. Rojas Tillerman contactó a Chilecompra y exigió la reparación de la falla con la postura: “lo arreglan ustedes o yo lo cuento a la opinión pública”. Finalmente hizo lo segundo, denunció la falla en la web mediante un video, pero su ultimatum no fue bien tomado y el ministerio público, en vez de investigar lo primero, eligió sospechar del ingeniero diciendo que a lo mejor él mismo llevaba mucho tiempo explotando la falla y que con su video quería chantajear al estado.

Rojas Tilleman fue enjuiciado entonces, en octubre del 2008, por dos cargos. El primero, intentar chantajear al estado con la información obtenida mediante su demostración. En segundo lugar, violar la Ley de Delitos Informáticos por apoderarse o acceder a información confidencial o a una sección privada mediante explotación de errores en un sistema, suplantación de identidad o intercetación de comunicaciones. Esta semana se conoció el veredicto de la jueza Claudia Brugueño, quien lo absolvió del primer cargo pero lo consideró culpable del segundo. Todavía no se ha fijado la pena que recibirá pero puede alcanzar los 5 años de cárcel.

Gino recibe el veredicto (via Terra)

Nos parece injusto que la justicia chilena no tome en cuenta la intencionalidad detrás de lo que es  “denunciar una falla” para diferenciarlo de “apropiarse de información confidencial de mala fe”. Con esto sólo logrará que la próxima persona que se entere de una falla tan burda y turbia prefiera guardar silencio. Además, si fuera por condenar a hackers de verdad o de mentira, o por acceder a secciones privadas de mala fe, creo que en el último año CHW ha tenido que lidiar con varios que debieran ir presos antes que Rojas Tilleman. Pero ahí andan, libres y felices.

Link: HACKER DE CHILECOMPRAS ES CONDENADO POR DENUNCIAR FALLA CRITICA DE SEGURIDAD (Terra)