Encuentran brecha de seguridad en el sitio web de Obamacare

Por Jose Pagliery, CNNMoney

(CNNMoney) - El sitio web de Obamacare tiene más que sólo algunos errores molestos. Un experto en seguridad cibernética encontró una manera de hackear las cuentas de los usuarios.

Hasta que el Departamento de Salud ‘cerró’ la brecha el agujero de seguridad la semana pasada, cualquiera podía ‘resetear’ o restaurar fácilmente la contraseña de un usuario  en Healthcare.gov sin su conocimiento y potencialmente secuestrar su cuenta.

La falla fue descubierta la semana pasada por Ben Simo, un probador de software de Arizona. Simo encontró que el acceso a las cuentas de la gente era terriblemente simple.

Uno podía:

  • Adivinar un nombre de usuario existente, y el sitio web confirmaba que de hecho existía.
  • Decir que uno había olvidado la contraseña, y el sitio la reseteaba.
  • Ver el código fuente sin encriptar del sitio en cualquier navegador para encontrar el código de reseteado de las contraseñas.
  • Ingresar el nombre de usuario y el código de ‘reseteo’ y el sitio web mostraba las tres preguntas de seguridad del usuario (el nombre de su sobrina mayor, el nombre de la mascota favorita, la fecha de aniversario de la boda, etc.)
  • Responder esas preguntas de seguridad de forma incorrecta, y el sitio web mostraba la dirección de correo electrónico del propietario de la cuenta; de nuevo, sin encriptación.

Teniendo el correo electrónico del titular de la cuenta, una persona con malas intenciones podía rastrear fácilmente su víctima en las redes sociales, donde podía descubrir las respuestas a las preguntas de seguridad.

Ni siquiera habría tenido que ser un hacker experto. Cualquier persona con malas intenciones —y un mínimo conocimiento de cómo leer el código de una página web— podría haberse dado cuenta de la brecha. Si bien este tipo de ataque podría no haber revelado los números Seguro Social o la información del sistema de salud, sí habría expuesto la dirección y el número de teléfono de las personas.

Para el viernes, esa brecha en la seguridad había desaparecido. Pero los consultores de seguridad dicen que es desconcertante que esta preocupación por la privacidad estuviera sin resolverse desde hace más de tres semanas, después de que el gobierno federal puso en marcha el sitio web Obamacare el 1 de octubre.

El Departamento de Salud y Servicios Humanos de EE.UU., que está gestionando la reforma al sistema de salud, confirmó que las fallas existieron. Después de ser contactado para este artículo, el departamento dijo que se hicieron cambios que evitar que terceros vieran el código de restablecimiento de contraseñas.

"Hemos tenido mucho cuidado para asegurarnos que los nombres de usuario y la información de las personas están a salvo", dijo la portavoz de la salud Joanne Peters.

Simo intentó reportar el defecto tan pronto como lo encontró, pero el operador de línea directa de Obamacare lo refirió a autoridades policiales, algo que no era ni útil ni relevante. Al intentar volver sobre los pasos que realizó Simo, CNNMoney encontró que algunos de los temas se habían arreglado, pero no todos.

Sin embargo, Simo teme que un hacker experto pueda encontrar otras brechas y los datos de los solicitantes Obamacare se vean comprometidos en una escala masiva.

"Esto parece muy descuidado", dijo Simo. "O bien los desarrolladores eran incompetentes y no sabían cómo hacer las cosas básicas para proteger la información del usuario, o el desarrollo fue tan fracturado que las personas que construyeron el sistema no entendieron cómo encajaban en el plano general del sitio".

La falla no fue mencionada en la audiencia del Congreso la semana pasada, cuando los contratistas CGI y Quality Software Services Inc. testificaron acerca de sus responsabilidades en el proyecto. Sin embargo, otro punto fue tocado por el congresista Mike Roger: las empresas siguen remendando las brechas de la página web y agregando miles de nuevas líneas de código informático, lo que deja al descubierto todo el sistema a problemas de seguridad imprevistos.

Los ciberataques en los sitios web de intercambio Obamacare ya son una realidad. Por lo menos un estado, Connecticut, ha visto cómo terceros tratan de acceder de forma "irregular", según dijo Jim Wadleigh, director de información de Access Health CT.

Las Investigaciones del Congreso continuaron el martes, cuando el Comité de Medios le planteó preguntas acerca de problemas técnicos y de seguridad a Marilyn Tavenner, directora de los Servicios Medicare y Medicaid.

La brecha de seguridad es sólo la más reciente de una serie de contratiempos en el lanzamiento del sitio web de Obamacare. En las primeras semanas, los errores del sistema impidieron que gente inscribiera los intercambios de seguros. El fin de semana pasado, una falla en la red de un contratista del gobierno volvió a impedir que los usuarios pudieran aplicar al servicio.

Este lunes se reveló otra falla: todo el sitio web Obamacare opera sobre un único servidor informático en Virginia, sin ningún tipo de copia de seguridad, de acuerdo con el congresista Rogers.