viernes, noviembre 30, 2012

#LiberenaPaulCoyote

El usuario @paulcoyote  afirma que hace varios meses denunció públicamente que culquiera podía ingresar al sitio DatoSeguro.com y acceder a información privada con algo tan suimple como los dos últimos números del índice dactilar que aparece en la cédula, pero no le hicieron caso. @gabytama dijo que "El 2 de abril de este año se le consultó por mail a la Dinardap sobre esa falla de seguridad. No se recibió respuesta".

@paulcoyote decidió hacerse pasar por el Presidente de la República para acceder a su información privada y demostrar la vulnerabilidad del sistema (Está claro que decidió hacerlo para demostrar su punto). Reconoce que "Alguien con malas intenciones podría hacer muy mal uso de esta información", y adelanta que "No se hizo para delinquir o para divulgar información que pueda ser utilizada con malas intenciones, ni para vender la información, chantajear o cualquier otra clase de acto ilegal o inmoral". Estaba consciente de que es ilegal robar la identidad de otro, pero no aclaró si había consultado con un abogado.


Una vez que se hizo pasar por el presidente, @paulcoyote tuvo acceso a toda la información privada a la que se podía acceder por DatoSeguro. Después de eso publicó y difundió su experiencia en un blog. El 26 de noviembre, paulcoyote notificó al Presidente de su acción. El 30 de noviembre lo detuvieron bajo acusaciones de "Acceso fraudulento a sistemas informáticos y bases de datos".

Según datos obtenidos por @calu por medio del hijo de paulcoyote, confiscaron computador, papeles, discos duros y hasta la basura. la denuncia la puso @willianssaud, Director de la @DINARDAP. @paulcoyote ha solicitado que se informe al Presidente sobre el tema y que está a favor del Gobierno. la @DINARDAP emitió un boletín de prensa en el que explicaron que presentaron una denuncia en Fiscalía, "quien a su vez solicitó las investigaciones respectivas a la Policía Judicial, lo que dio como resultado la detención del ciudadano en referencia".

Según El Universo, @paulcoyote"denunció en su cuenta la detención de la que fue objeto, tras alertar sobre la inseguridad del sistema Dato Seguro". El Universo da a entender que @paulcoyote fue detenido por dar la alerta y no por tomarse los datos de alguien más. En otra nota, tituló que estaba preso por ingresar a sistema de la @DINARDAP. Eduardo Arcos tergiversó.  Dijo que el arresto era "por mostrar vulnerabilidades de web estatal" (Appy Geek publicó el mismo post). También dijo que el Presidente hace "cadenas sabatinas". La misma mentira dijeron La Hora (que además tergiversó al decir que estaba preso por publicación en internet), Teleamazonas, Ecuavisa y El Comercio (según titular, apresaron a coyote por desnudar las debilidades de dato seguro).

Diario Hoy no dio a entender que el arresto era por denunciar vulnerabilidad. Diario Expreso tituló "Bloguero accedió a datos del Presidente". Andes dijo que la detención era por suplantar identidad del presidente y que la denuncia partió de la verificación de la base de datos, en la que detectaron la creación del usuario "mashirafael".

David Barrera explicó que la costumbre en caso de que no respondan es hacer públicas las vulnerabilidades. Darthdeider consideró que paulcoyote había hecho mal, pero de todos modos aprovechó el caso para atacar al Gobierno. Daniela Gallardo resumió los hechos. El blog "Clases de periodismo" puso como titular que la acusación era "obtener datos del Presidente" y dio a entender que se manifestaban sobre el caso solo los que estaban a favor. Karina Astudillo se enfocó más en DatoSeguro y hasta entrevistó al Director de seguridad Informática (cosa que no hizo la prensa independiente). Hackeruna, que también había advertido sobre el tema, publicó un post enfocándose en el Hacking ético. Dijo que "El hecho de conocer el error, no nos da la facultad de publicar el mismo, si todavía NO ESTA CORREGIDO". Rafael Bonifaz cuestionó el despliegue de seguridad de la captura y consideró que una citación habría sido suficiente. Wired.com se basó en tergiversaciones de El Comercio para decir que paulcoyote había sido liberado por orden presidencial. TheVerge.com aclaró en parte. A pesar de que en el post admiten que lo que hizo @paulcoyote fue ilegal, SpamLoco dió a entender en titular que la liberación era por publicar sobre vulnerabilidad. Global Voices Online publicó un resumen sobre el caso.

Como represalia, @EcuCyberArmy empezó a hackear webs ecuatorianas públicas y privadas.


La reacción en la tuitósfera opositora (aka #OposiciónTruchafue la politización esperada: tratar de hacer quedar mal al Gobierno, comparar torpemente el caso con el de Julian Assange y wikileaks, mezclar el asunto con otros casos, atacar a quienes no defendían el mismo punto y quedarse en el mero reclamo. El principal argumento era que la detención se daba por denunciar e informar sobre una vulnerabilidad, pero el mismo paulcoyote admitió que la detención era por  "Acceso fraudulento a sistemas informáticos y bases de datos". El HT #LiberenaPaulCoyote fue tendencia.

Pocos admitieron que el acto era ilegal y que si no lo hubiera cometido, no lo habrían detenido. @pulpineitor, el hijo de @paulcoyote, pidió que dejen de lado el lado político. Calu propuso demandar a la @DINARDAP por exponer datos privados. María Paula Romo cuestionó la prisión preventiva. @ivan_herazo publicó links de varios casos similares. Casi nadie cuestionó la manipulación de los medios que dieron a entender que la detención era por detectar vulnerabilidades. @calu le dijo al Ministro de Telecomunicaciones @guerrero_jaime que el sistema no es seguro. La respuesta del Ministro fue que el sistema ha mejoraro y en diciembre será actualizado.

Algunos dijeron que la detención estaba dando lugar a otro caso de efecto Streisand, pero no aplica, ya que el objetivo no era callar o censurar a @paulcoyote (esa es la idea que tratan de vender los medios opositores), sino sancionar el uso que hizo de los datos privados a los que accedió mediante suplantación de identidad. El candidato presidencial Norman Wry dijo que la protesta era una forma de incidencia pública. No cuestionó la manipulación de los hechos por parte de la prensa opositora y la #OposiciónTrucha.

En este caso, la justicia no persigue a blogueros, tuiteros, peluqueros o bomberos. Persigue delitos como el acceso fraudulento a sistemas informáticos y bases de datos.
No se lo detuvo por mostrar vulnerabilidades o por publicar algo en su blog.
No es el presidente el que metió preso a @paulcoyote. @willianssaud puso la denuncia, fiscalía pidió detención, un juez lo condenó a prisión como si fuera peligroso y la policía lo detuvo.

@paulcoyote envió una carta pidiendo disculpas por su acción. El Presidente se manifestó durante el Enlace Ciudadano que se llevó a cabo en Riobamba, la ciudad de residencia del infractor. Dijo que "Se llama Paul Moreno, un hácker; miren, no se cómo sea el marco legal, pero si yo soy el que tiene que acusar algo, por favor déjenlo libre lo más rápidamente a esa persona (...) Revisen el sistema, si es selibre (...) y si tiene datos míos, querido Paul toda la autorización para que los difunda en redes, donde quiera, porque el Presidente no tiene absolutamente nada que ocultar".

Al quedarse sin piso, algunos opositores y medios de comunicación de oposición se dedicaron a decir que el presidente había ordenado soltarlo y que esa era una prueba de injerencia en la justicia. Palo si bogas, palo si no bogas. El Universo, La Hora y Hoy sí dijeron que había pedido su liberación. El Universo dijo que @paulcoyote era "bloquero".

Cuando finalmente liberaron a @paulcoyote, El Comercio insistió en que el Presidente había "ordenado"  su liberación (dando a entender que era esa la razón por la que lo liberaban), pero no especificó si fue esa la razón por la que quedó en libertad. Basado en declaraciones del Presidente, El Universo dijo que @paulcoyote había hackeado DatoSeguro. Expreso y La Hora insistieron en dar a entender que había sido detenido por publicar que DatoSeguro no era confiable. Además citaron al presidente cuando autorizó a @paulcoyote a hacer pública su información, diciendo que esa declaración dio como resultado su liberación. Diario Hoy publicó que el presidente había dado el visto bueno, pero no explicó los motivos de la liberación. De hecho, ninguno explicó claramente la razón oficial de la liberación.

@paulcoyote dijo finalmente que no hablará del asunto con la prensa (por ahora). Cuestionó la cobertura que los medios le habían dado al asunto.

¿Consultó @paulcoyote a un abogado antes de hacer público el asunto?
¿Consideró la posibilidad de ser denunciado por acceder a datos privados mediante suplantación de identidad?
¿Hacer público el asunto era la única manera de lograr un cambio en el sistema?
¿Habrían hecho la misma campaña si el afectado hubiera sido un opositor y el que cometió la ilegalidad hubiera sido del Gobierno? (no necesariamente, de parte del Gobierno).
Si paulcoyote había hecho público el acto ilegal, ¿cómo puede un juez asumir que pretendía escapar y condenarlo a 45 días de prisión?
¿En qué se basó el juez para quitarle la libertad durante 45 días?
¿Habrá sanción para quienes aprobaron y adquirieron el sistema de DatoSeguro, cuyo costo fue de $10 millones?
¿Se puede constatar si hay más casos de suplantación de identidad y acceso a datos privados?
¿Debió la @DINARDAP denunciar el acto ilegal? ¿habrían sancionado al Director de la institución si no denunciaba?
¿Cómo es que las cuentas de twitter de @DINARDAP y @willianssaud no respondieron en todo el día? ¿Cuentan con un equipo de CM? Recién en la noche de la detención, @willianssaud dio sus puntos de vista sobre el tema. El lunes publicaron un comunicado en el que indican que "el mejor sistema es el que mantiene el equilibrio entre la seguridad y la accesibilidad para la ciudadanía". @alfredovelazco publicó una lista de cuentas creadas el 27 de noviembre y que defendían a DatoSeguro.
¿Qué tan seguro es actualmente DatoSeguro?
¿Cuántos funcionarios de la @DINARDAP tienen sus datos ingresados allí?


yapa:

¿Se puede comparar a Julian Assange con @paulcoyote, como maliciosamente posicionaron algunos opositores?
@paulcoyote ingresó a un portal gubernamental (sin hackeo), se tomó el nombre de otra persona y accedió a sus datos privados. Julian Assange no ingresó al sistema del Gobierno ni robó información. Recibió los archivos de alguien más.
@paulcoyote NO difundió información. Assange sí difundió información (al igual que decenas de medios de comunicación)
La información a la que accedió @paulcoyote era personal y privada. La información que difundió Assange era sobre acciones de Gobierno (el debate es sobre la pertinencia de mantener esa información como clasificada).
La información liberada por assange y decenas de medios de comunicación afecta a países, presidentes, funcionarios en temas públicos u oficiales. La información de DatoSeguro es personal.
Julian Assange es requerido por la justicia sueca por cargos sexuales que no existen en Ecuador, no por el acceso a información privada por medio de la suplantación.
Julián Assange obtuvo asilo por razones humanitarias, al considerar que su vida estaba en peligro si era extraditado a Suecia, país que no dio garantías de que no lo deportaría a Estados Unidos.
@paulcoyote no es ningún perseguido. No se persigue personas, se persigue delitos. En este caso, la suplantación para tener acceso fraudulento a sistemas informáticos y bases de datos.

4 comentarios:

Anónimo dijo...

http://www.hoy.com.ec/noticias-ecuador/el-ecuador-ya-cuenta-con-sistema-de-datos-seguros-537583.html

"El proyecto en total tiene un costo de $10 millones, de los cuales, hasta el momento, se han utilizado tres." A marzo-2012.

Anónimo dijo...

no solo ellos http://www.elcomercio.com/politica/Hackeada-web-Asociacion-Municipalidades-Ecuador_0_820118175.html

Anónimo dijo...

El delito yo lo veo por el tema de la suplantación. El usó fraudulentamente (aún cuando no haya divulgado información) documentos de identidad de otra persona, es decir, su nro. de cédula y el índice dactilar. Pienso que el sistema no es vulnerable una vez que el ciudadano se registra, es decir, si RC hubiera estado registrado en DS, Coyote no hubiera podido crear una cuenta con la cédula y el índice del presidente porque enseguida aparece un bloqueo y un mensaje que dice que ese nro. de cédula ya se encuentra registrado, esto lo deduzco por las explicaciones del propio coyote y porque yo estoy registrado en DS. Por lo demás, y por lo que el propio R. Correa acaba de decir, "le autorizo a Coyote a publicar lo que quiera de mi información" lo que DS muestra es nuestra información básica personal que se encuentra registrada en las entidades registrales y de las que manejan datos, ejm, las propiedades que tengo, los actos mercantiles que he registrado, los movimientos migratorios, etc. Claro que a nadie le gustaría que cualquier persona se entere de su historial, pero no se trata de información confidencial, de hecho los políticos toda la vida han echado mano de esa información sin que nadie les diga nada. Ahora de todo se hace un escándalo y se tergiversa sin obtener información fidedigna.

Anónimo dijo...

Por cierto, Dato Seguro si es válido, y útil partiendo del hecho que nos permite revisar en un solo portal el estado de nuestros datos que se encuentran en todas las entidades, es decir, no tenemos que ir a cada una de ellas, sino que todo lo encontramos dentro de la cuenta individual que abrimos porque la Dinardap -por ley- tiene el encargo de realizar la interconexión. Adicionalmente esa información no es modificable a través de Dato Seguro, solo la visualizamos.
Hay gente que le encanta alarmar y con el apoyo de los medios, solo para hacer quedar mal a todo lo que es público, estatal, gubernamental, oficial, etc.