Blog, Español, K+Lab, Notas libres, Publicaciones, Reflexiones, Seguridad e intimidad

DIAN, la seguridad digital de su sitio web y aplicación

El K+Lab, nuestro laboratorio de seguridad y privacidad en Fundación Karisma, impulsa actividades en pro de la seguridad digital de la ciudadanía. Como parte de este accionar, realiza análisis de sitios web y aplicaciones del Gobierno colombiano con el fin de contribuir a mejorar su información, su seguridad digital y su privacidad, para el beneficio de la ciudadanía y de las entidades responsables de estos sitios. Este tipo de ejercicios han demostrado ser valiosos y pueden llevar a mejoras importantes.

En un primer ejercicio, analizamos la página imeicolombia.com.co y, tras la socialización de nuestro análisis, se generaron importantes cambios en su implementación. Hicimos también un segundo ejercicio con el sitio web de la Unidad para la Atención y Reparación Integral a las Víctimas, el cual fue presentado junto con la entidad y el MinTIC en el IV Foro de seguridad digital en Bogotá, como un “caso de éxito de colaboración entre la sociedad civil y el gobierno”.

En esta oportunidad estamos presentando el análisis del sitio web de la DIAN que además de información de consulta, también ofrece servicios extensamente usados por los ciudadanos colombianos, extranjeros residentes y empresas. El informe incluye además un análisis de la aplicación de la entidad, que proveía un servicio de chat y de localización de los puntos cercanos de atención.

Este informe cuenta con tres ejes principales:

  1. Cumplimiento con los requisitos de la ley de protección de datos (información legal, transparencia y contratos)
  2. Seguridad digital del sitio web
  3. Privacidad y tracking

Este informe se basa en la investigación técnica, no intrusiva -que nunca afectó los servicios de la entidad ni buscó entrar a sus servidores-, ajustada al marco legal del país y a nuestros principios éticos, realizada entre agosto y septiembre de 2017 con dos verificaciones posteriores, una en enero y otra en noviembre de 2018. En mayo de 2018, parte de la investigación fue presentada en la Conferencia RightsCon en Toronto, Canadá. Conoce la presentación acá.

En febrero de este año se envió una versión completa de este informe a la DIAN y al MinTIC que generó una serie de mejoras, las cuales se detallan en el informe. En noviembre de 2018 evidenciando que algunos de los problemas reportados aún no han sido corregidos, a pesar del tiempo prudencial que se dió, decidimos publicar el informe. Valga aclarar que en la versión pública de este informe, hemos omitido la información sobre vulnerabilidades que podrían poner en riesgo el sistema de la DIAN, aunque esto hace parte del informe completo que se entregó a la institución.

El informe detalla las buenas prácticas que encontramos: el uso del protocolo de seguridad HTTPS en la mayoría de páginas y formularios del sitio, una información legal bastante completa y que el sitio principal está albergado en Colombia. Sin embargo existen algunos otros puntos por mejorar que el análisis puso en evidencia y que invitamos a conocer completamente en el informe completo que puede ser descargado acá.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.