Hablando recientemente del mal uso que se le ha dado a las captchas en el servicio de envío de SMS de ANCEL, quiero comentar ahora sobre un caso opuesto en el que se debería haber usado captchas, pero no se hizo. Me refiero a la interfaz de consulta de la Corte Electoral, para la votación de este domingo (que curiosamente también corre sobre fue generada por Genexus).
Es claro que un servicio como esos (donde se pone a disposición información privada de la gente) debe estar protegido contra ataques de fuerza bruta. Es trivial hacer un script que consulte por todos los números de cédula (para generar el dígito verificador existe un algoritmo sencillo y bien conocido). Yo mismo hice un script en python (10 líneas) como prueba de concepto. Me llevó en total (análisis del HTML + escritura del código) unos 20 minutos (y por razones obvias, no lo voy a publicar).
¿Por qué no se usó entonces una captcha (bien implementada claro está, no como las de ANCEL) para proteger la información en este caso?. Me parece que la gente que está a cargo del sistema informático de los entes estatales carece del sentido común y la responsabilidad que nos merecemos todos los uruguayos.
Bueno, nada más. Este fue un post rápido (y criticón) de sábado a la tarde. Lo dejo por acá porque me estoy yendo a un casamiento... :)
PS. Tampoco digo que usar Captchas sea la única forma de asegurar la información, pero me pareció la escusa perfecta para escribir el post ya que recientemente había hablado sobre ellas.