28 septiembre 2021

La clave única


Se trata de un invento relativamente reciente. Es una "firma digital de los pobres" cuyo uso se masificó cuando empezaron las restricciones de movimientos y la exigencia de sacar permiso para andar por la calle a causa de la epidemia de Covid-19. Leo en Wikipedia

Clave Única (Chile)
La Clave Única (estilizado como ClaveÚnica) es una contraseña unificada utilizada para autenticar de manera digital la identidad de una persona, con el fin de que pueda acceder a todos los servicios que otorga virtualmente el Estado de Chile a chilenos y residentes en el país mayores de 14 años. La administración de esta iniciativa es de competencia de la División de Gobierno Digital del Gobierno de Chile.

Historia
El servicio fue creado como parte de las políticas gubernamentales en relación a incrementar la administración pública electrónica, con el fin de facilitar el acceso a los trámites de manera digital, aumentando las medidas de seguridad requeridas para los servicios de esta naturaleza, reducir los tiempos de espera y así contribuir en el proceso de modernización del Estado, ofreciendo un servicio de oficina sin papeles en la mayor cantidad de prestaciones públicas. Todos los trámites disponibles para realizar de manera digital, deben estar registrados en la nómina oficial del Registro Nacional de Trámites (RNT), el cual fue creado en 2019 bajo el segundo gobierno de Sebastián Piñera.1​

El ente encargado de recabar toda la información requerida para la generación de la clave es el Servicio de Registro Civil e Identificación, donde el solicitante debe acudir de manera presencial a una de sus sucursales, como también en las oficinas de ChileAtiende.​ En dicho proceso, la persona deberá presentar su carnet de identidad, que contiene distintivos de seguridad biométrica. Adicionalmente se le pueden pedir otros datos como requisito para la obtención de la clave, tales como la toma de sus huellas dactilares, la toma de una fotografía de rostro, la confirmación o actualización de datos como su dirección de domicilio, número telefónico y la dirección de correo electrónico personal, en donde le será enviado un correo con un código de confirmación para finalizar el proceso. Para el caso de los chilenos en el exterior, deben acercarse presencialmente de igual manera a los consulados de Chile más cercanos a su domicilio y donde se encuentre este servicio habilitado.3​ El trámite no tiene costo para el solicitante y es de duración indefinida hasta su fallecimiento, no obstante, los datos del usuario deben mantenerse actualizados.

Debido a las medidas sanitarias por los confinamientos por la pandemia de COVID-19 en Chile, el Registro Civil habilitó la opción de videoconferencia como una alternativa excepcional para aquellos que a partir de marzo de 2020 no habían obtenido su Clave Única

Bueno, dudo que en otro país civilizado haya gente tan sumisa e ignorante que acepte el uso masificado de una contraseña personal que no cumple con los mínimos requisitos de seguridad. Yo fui de los primeros en sacarla cuando recién apareció, porque servía principalmente para trámites en que la confidencialidad no era importante, pero con el tiempo su aplicación se ha ampliado y acabo de leer un uso en el que perfectamente podrían haber usurpado mi identidad sin que ni siquiera me diese cuenta.

Leía hace un rato en Twitter que la candidatura de Gabriel Boric había recolectado 10 mil firmas en una semana, un promedio 2.143 firmas por día, es decir 89 personas por hora 24x7. A mí, que conocí y participé en la campaña para recolección de firmas del Partido Republicano  esto me parece completamente inverosímil. Como la mayoría de las firmas se inscribieron online, esto me ha llevado a preguntarme si no será posible  que -por medio de algún proceso del tipo batch- alguien haya recorrido la base de datos del Servicio de Registro Civil obteniendo los pares de RUT y Clave Única válidos, inscribiéndolos manualmente como firmas en Servel.

Yo entiendo poco o nada de como se intervienen los servidores, no conozco Java, ni Json ni nada que se le parezca, pero si entiendo algo de seguridad informática y como la Clave Única es solo un listado de pares RUT-CLAVE, donde no interviene ningún proceso criptográfico en su generación, es un sistema totalmente vulnerable. Claro que este listado puede -y debería- estar encriptado en la base de datos, pero eso no es problema para alguien que tenga los privilegios suficientes como administrador de los servidores. También la base de datos debería estar bien protegida contra ataques SQL Injection, que son más conocidos que el hilo negro y otras posibles vulnerabilidades 

Pero creo que la mayor vulnerabilidad de todas es que la Clave Única no es una verdadera firma digital, sino que es solo un listado unificado de contraseñas ligadas a la identidad de casi todos los chilenos, y si bien no está al alcance de cualquiera conocerlas, si hay técnicos y funcionarios que pueden tener acceso a ellas. EL peligro es enorme.

¿Cómo vamos a confiar en el Servicio de Registro Civil que es donde se han encontrado algunos de los mayores escándalos de corrupción al más alto nivel?  Es bueno recordar que  un señor de apellido Arenas dijo -en una serie de conversaciones- que el desfalco en el Servicio de Registro Civil, del que él fue director, era para entregar el dinero a Bachelet. El jefe de el servicio que interceptaba las conversaciones en la PDI tuvo la prudente idea de quemarlas, pero por casualidad sobrevivió una, que todavía anda penando a la presidente por ahí. También el Registro Civil otorgó una nacionalidad falsa a Andrei Semenov, un espía ruso que consiguió una identidad chilena, vivía en Chile y tuvo que salir arrancando cuando lo pillaron

¿Me sorprendería que funcionarios o directivos del Registro Civil hayan vendido una lista con 20 o 30 mil pares de RUT y Claves Únicas? Claro que no, lo que me sorprendería es que no lo hayan hecho. Creo que en esto de las firmas con Clave Única el populacho está perdido pidiendo auditorías al Servel, a quien tienen que auditar es al Registro Civil, que es donde se puede haber generado ese fraude y quien sabe cuantos más.

Y sobre todo creo que se debe restringir la aceptación de la famosa Clave Única para usos electorales, porque es una fuente de potenciales fraudes. Para qué hablar de las evidentes debilidades que tiene el sistema de firmas notariales. Lo que pasa es que nadie vigila a los vigilantes y las instituciones fundamentales como Fiscalía, Servicio Electoral y reparticiones públicas se tornan corruptos de manera inevitable.

8 comentarios:

  1. Todo sistema informatico tiene el problema 500: Entre el teclado y el asiento y eso ni con el mejor y mas seguro modelo de encriptación se puede resolver. Los seres humanos somos propensos a ser corruptos apenas se nos de la oportunidad. La tentación es fuerte, más cuando se manejan datos sensibles y suceptibles de ser utilizados "para otros propositos".

    ResponderBorrar
  2. La clave única es una total chacota.
    No la uso por ningún motivo.
    Y tiene un problema adicional. Mucha gente la cree tan segura que para ahorrarse una clave usan la misma que la que usan en el banco para entrar a sus cuentas. Tengo una pajarita de esas muy cerca. Ya la putié.

    ResponderBorrar
  3. La inscripcion de Boric tiene toda la pinda de ser espurea, la frente sudorosa de Tagle cuando le preguntaron dice mucho mas que sus dichos, eso que esta todo ok pues fueron online...

    ResponderBorrar
  4. José, Marcelo, Wilson, no entiendo como pudimos dejar pasar esta cuchufleta sin decir ni pio.

    La clave única tiene un diferencia fundamental con una firma digital, en palabras sencillas una firma digital no la puede acceder nadie si no tiene el párrafo que solo conoce el dueño, porque se basa en un problema matemático que todavía no se ha resuelto (la factorización de grandes números). Una clave única en cambio la puede conocer cualquiera que tenga acceso suficiente a la base de datos donde está almacenada. Esa es una diferencia enorme en cuanto a seguridad y la aceptamos como si nada.

    Creo que está Ok para trámites de menor importancia, pero usarla para inscribir partidos polítcos y candidaturas me parece una aberración. Aunque el problema podría mitigarse mucho si las listas de firmantes fuesen públicas y de libre acceso. Por alguna razón que no entiendo el Servel mantiene en secreto los nombres de quienes firmaron, cualquiera de nosotros podría haber "firmado" por Boric, Parisi, Enriquez o por algún partido que detesta.

    ResponderBorrar
  5. Además es mu6y importante lo que dice Marcelo: JAMÁS hay que usar el password del Banco o ningún párrafo que no sea de mínima seguridad, cosa que si alguien lo accede no pueda entrar a nada más.

    ResponderBorrar
  6. Para generar una factura puedo ingresar con Clave Tributaria, Clave Única o Certificado Digital. Sin embargo al momento de emitir la factura me pide la contraseña asociada con mi certificado digital firmado por e-cert Chile.

    Sin embargo para emitir una boleta electrónica basta el ingreso con Clave Tributaria, la cual es una contraseña simple, igual que la Clave Única.

    Las posibilidades para hacer daño son enormes. No desconfío de Amazon Web Services, quienes administran la aplicación, sino en la criminalidad local que va en aumento a todo nivel.







    ResponderBorrar
  7. No se como es en Chile, pero acá es una fiesta. La misma clave fiscal que usan los contadores para sus declaraciones - y los clientes les dejan - puede usarse para facturar online desde el site fiscal, y la factura es totalmente válida, innegable. En los estudios contables, estàn docenas de claves de clientes en listados que se acceden de cualquier terminal por parte de cualquie empleado. La gente le deja su clave fiscal a cualquiera que le simplifique la vida: el abogado que le tramita la jubilaciòn o la herencia, o el divorcio, el escribano que le hace una compraventa, el gestor que le registra un auto, el portero que admite un ingreso con remito fiscal. Hay procedimiento para que estos agentes transitorios ingresen con su propio "RUT" y no conozcan la clave del titular... pero es engorroso y la mayoría no lo hace. Le dejan su clave, "total lo conozco hace años".
    Lo que me sorprenden es que no se conocen de fraudes, robos de facturas para fraudes fiscales, o para justificar mercadería robada, etc... Uls

    ResponderBorrar
  8. Esas firmas online del servel estarían en alguna base de datos, la cual se podría hacer una solicitud de acceso por ley de transparencia, supongo

    ResponderBorrar

"Send me a postcard, drop me a line
Stating point of view
Indicate precisely what you mean to say
Yours sincerely, wasting away
Give me your answer, fill in a form
Mine for evermore
Will you still need me, will you still feed me
When I'm sixty-four"