No Todas Las Captchas Son Malas

Hablando recientemente del mal uso que se le ha dado a las captchas en el servicio de envío de SMS de ANCEL, quiero comentar ahora sobre un caso opuesto en el que se debería haber usado captchas, pero no se hizo. Me refiero a la interfaz de consulta de la Corte Electoral, para la votación de este domingo (que curiosamente también corre sobre fue generada por Genexus).

Es claro que un servicio como esos (donde se pone a disposición información privada de la gente) debe estar protegido contra ataques de fuerza bruta. Es trivial hacer un script que consulte por todos los números de cédula (para generar el dígito verificador existe un algoritmo sencillo y bien conocido). Yo mismo hice un script en python (10 líneas) como prueba de concepto. Me llevó en total (análisis del HTML + escritura del código) unos 20 minutos (y por razones obvias, no lo voy a publicar).

¿Por qué no se usó entonces una captcha (bien implementada claro está, no como las de ANCEL) para proteger la información en este caso?. Me parece que la gente que está a cargo del sistema informático de los entes estatales carece del sentido común y la responsabilidad que nos merecemos todos los uruguayos.

Bueno, nada más. Este fue un post rápido (y criticón) de sábado a la tarde. Lo dejo por acá porque me estoy yendo a un casamiento... :)

PS. Tampoco digo que usar Captchas sea la única forma de asegurar la información, pero me pareció la escusa perfecta para escribir el post ya que recientemente había hablado sobre ellas.

5 responses

Una precisiòn, las aplicaciones con corren sobre GeneXus, son generadas.

Una precisiòn, las aplicaciones no corren sobre GeneXus, son generadas por Genexus.

Muy cierto. Corrección aceptada.

Hola:
Una mañana de 1999, un domingo, recibí en mi casilla de adinet un programa hecho por vos creo [adinetdb], muy bueno.
Ahora se me dío por chusmear cosas que tenía guardadas en la pc, y al poner el nombre del autor de ese programa en google llegué aquí. Saludos

jeje... que tiempos aquellos!. Tengo muchas historias para contar de aquella época. Algún día publicaré un post al respecto. Keep tuned... :)