Errores en ‘Mi Vacuna’ ponen en riesgo los datos de quien se registró en su lanzamiento

El pasado 2 de febrero, el gobierno de México lanzó la página web Mi Vacuna para que las personas de 60 años y más pudieran registrarse para recibir la vacuna contra el Covid-19, como señaló el zar antipandemia Hugo López-Gatell en la mañanera de ese día. Tras el anuncio, una primera oleada de personas intentó realizar el trámite, pero en sus pantallas aparecía el mensaje: “No se puede acceder a este sitio web”.

Aunque la página se estabilizó a los dos días, los errores y vulnerabilidades que presentó el sitio habilitado por el gobierno federal para registrar y emitir folios para los ciudadanos que completen el trámite ponen en riesgo sus datos personales. Esto sin añadir que no hay una estrategia clara de qué seguirá para quien haya conseguido registrarse.

La-Lista habló con Andrés Vázquez, profesor de investigación y análisis económico y de información, así como analista de sistemas de la Facultad de Economía de la Universidad Nacional Autónoma de México sobre los errores de la página.

De acuerdo con Vázquez, se detectaron por lo menos 56 errores en el sitio para los tres principales lenguajes usados en el página web: HTML, CSS y JavaScript. Estos errores tienen que ver con la sintaxis, es decir, el esqueleto semántico del portal.

“Esto quiere decir que (los administradores del sitio) no están siguiendo las reglas en las que se debe de escribir el lenguaje (HTML)”, dice Vázquez. “Así como en el español tenemos reglas ortográficas, en el HTML hay reglas y esas no las están siguiendo de acuerdo con las buenas prácticas (…) Por lo que la manera en la que escribieron el HTML genera problemas de rendimiento.

“También están usando un lenguaje con términos obsoletos, están dejando espacios abiertos dentro de las etiquetas y eso quiere decir que están metiendo basura en el código (…) Lo están manejando mal porque están metiendo elementos vacíos. Si metes un elemento vacío dentro de estas etiquetas para darle formato, estás generando más espacio y más transferencia innecesaria hacia el servidor, y eso va a afectar la carga del sitio generando que el rendimiento sea menor (…) Otro conjunto (de errores) giran alrededor del lenguaje Javascript, que es un lenguaje que permite crear funcionalidades más complejas en los sitios web, y que en este caso están usando para validar el formato de la CURP. Pero lo están escribiendo con atributos que por norma ya no se utilizan. otro conjunto de errores que se aprecian son los que tienen que ver con el lenguaje CSS, que es el que le da el estilo a las páginas web, su presentación para simplificarlo”.

De acuerdo con el especialista, el conjunto de estos tres tipos de errores generan problemas de seguridad y rendimiento.

Andrés Vázquez señaló que cada elemento tiene un ID (identificación) que debe ser único. “Entonces lo que ellos están haciendo dentro de los errores es meter elementos con ID repetidos, o sea si uno de esos elementos se llama uno, por así decirlo, si otro elemento dentro del mismo sitio web tiene un ID que es igual a uno es un problema porque el navegador no lo va a reconocer como id único porque hay dos. Eso también va a generar problemas en el rendimiento”. 

¿Y la seguridad del sitio?

También analizó la seguridad del sitio Mi Vacuna y dijo Andrés Vázquez que contemplando el top 10 de las vulnerabilidades más comunes se encuentran 8 de las más peligrosas que hay en un sitio web* ver lista al final. “La primera de ellas es que la librería que están usando, ya sea para validar el formulario de envío o para checar el formato de la CURP no es la más actualizada, están usando una vieja y, por lo tanto, es vulnerable y susceptible a ataques, y los otros tienen que ver con errores de las cabeceras del sitio del HTML. Básicamente, pueden permitir que se roben los datos de la gente que se está inscribiendo”.

Uno de ellos es el Anti-CSRF Token, que el sitio web no lo tiene configurado este lo que hace es que la gente que da sus datos, si accede a otro sitio web que tiene esa captura va a poder transmitir la información de sus datos a una página web que sea maliciosa y esta página no tiene el protocolo de seguridad para detener el robo de esa información, otro tipo de errores tienen que ver con que se estén usando librerías para el sitio que no están confirmadas que no son de fuentes oficiales.

“Esta librería no oficial que yo detecto aquí va a tener que ver con el botón que recién agregaron que es para el recaptcha para la validación de que no se estén usando bots para mandar la información de la CURP a las bases de datos y literalmente pusieron una librería y la pegaron que tal cual es una API y ya, por lo tanto, no se recomienda que se utilice y el análisis de seguridad va a consistir en que se detecta que esta librería no es de una fuente o repositorio oficial y al ser esto evidentemente esta librería puede provocar robo de información de los usuarios y como ese existen otros seis”.

“Básicamente este sitio web compromete la seguridad de los datos de los que se registran, no está hecha con protocolos adecuados y está utilizando librerías desactualizadas y que no son oficiales, por lo tanto, se deben actualizar y se deben de reforzar esas medidas antihacking del sitio”.

Respecto al rendimiento, Andrés Vázquez dijo que la capacidad de rendimiento que es la capacidad que se tiene para responderle a todos los usuarios que acceden al portal de forma efectiva, está muy por debajo de lo que se necesita. Podían procesar sin problemas 106 consultas del sitio por minuto en contraste de las 70, 000 por segundo que se requieren. Actualmente ya pudo haber subido más el rendimiento, “pero no creo que en tan pocos días tengan la infraestructura para soportar esa demanda y por otro lado es que conforme va subiendo el número de gente que se mete a la página web, el sitio experimenta intermitencia”.

El mismo 2 de febrero, el gobierno de México publicó en la página de “Mi Vacuna” este mensaje: “Debido a la saturación de registros se han presentado interrupciones en el servicio. Estamos corrigiendo y aumentando la infraestructura para que no sucedan dichas interrupciones”. De acuerdo con una nota de El País, ese día el gobierno suspendió la plataforma de “Mi Vacuna” y “echó mano de otros servidores para restablecer el servicio”.

*La-Lista de las principales amenazas de seguridad del sitio Mi Vacuna

• La librería jquery implementada en el sitio web es la versión 1.12.2, se recomienda usar la versión más reciente.

• El sitio web no incluye X-Frame Options, lo hace susceptible a clickjacking

• No se agregaron tokens Anti-CSRF y por eso habría problemas con la seguridad de las sesiones de los usuarios.

• Algunos ficheros javascript que usa el sitio para funcionar no son de fuentes confiables.

• Los cabeceras de caché no están fijados adecuadamente, por lo que se puede tener acceso a la información guardada en la caché por parte de los usuarios en el navegador y exponerlos a que se haga mal uso de su información.

• Las cabeceras X-Content-Type-Options no están fijadas correctamente, por lo que el sitio es blanco de ataques basados en confusión de tipos mime, lo cual puede propiciar la ejecución de scripts maliciosos.

• Comentarios dentro del código que pueden dar pistas sobre la estructura y funcionamiento del mismo, información que puede ser utilizada para atacar el sitio.

• El sitio posee la vulnerabilidad Timestamp Disclosure – Unix por lo que puede ser objeto de ataques de fuerza bruta más rápidos al recuperar del servidor, contraseñas, tokens anti–CSRF o códigos de autenticación.

*La información de esta nota esta basada en un análisis realizado el 2 y 3 de febrero.