“2013: AÑO DEL SESQUICENTENARIO DE LA FUNDACION DE ALVEAR y LAVALLE” –LEY 6.177– Diputado Cr. Ramón A. Simón Pagina web http://www.betosimon.com.ar Honorable Cámara de Diputados Provincia de Corrientes EXPTE. 7983/13 REGISTRADO EL 03/04/13 A LAS 11.50 HS PROYECTO DE RESOLUCION INICIATIVA : Diputado Cr. Ramón Alberto Simón, (BLOQUE LIBERAL) . OBJETO: : Solicitar informe al IPS respecto de vulnerabilidad Sistema Informático del Organismo, que pone en riesgo la confidencialidad y fidelidad de los datos, como también desprotege el Patrimonio del Organismo por posibles ilícitos cometidos desde la Página web por parte de “hacker” o piratas informáticos, así como también posibles acreditaciones de beneficios previsionales ilegales ocurridos en el segundo semestre del año 2012. FUNDAMENTOS Honorable Cámara: FUNDAMENTOS: El Instituto de Previsión Social de Corrientes, como Órgano de Aplicación del Régimen Previsional – de Acuerdo a misiones, facultades y funciones de la Ley 4917-to- y modificaciones, tiene el deber de proteger y resguardar los datos de todos y cada uno de sus afiliados y/o iniciadores de expedientes, como también principalmente velar por la protección de los recursos del Organismo, cuyo destino principal y primordial es el pago de las prestaciones de jubilaciones y pensiones. Dentro de este marco general, los sistemas informáticos constituyen en estos tiempos, uno de los medios más importante de recolección, procesamiento, almacenamiento y emisión de informaciones de toda índole, desde datos personales, filiatorios, estado civil, domicilio, etc. de beneficiarios, apoderados y/o titulares de expedientes , como también de las situaciones económico financieras de todos y cada uno de los beneficiarios: Prestaciones de haberes normales, retroactivos, deudas; embargos, etc. La vulnerabilidad de los sistemas de procesamiento electrónico de datos, y su acceso a través de internet es uno de los mayores peligros que existen en esta década y hacia el futuro, con lo cual el acento en la seguridad informática debe ser uno de los pilares de toda buena y sana administración. De acuerdo a informaciones que han tomado estado público – realizadas incluso por la propia Interventora del IPS , El Instituto de Previsión Social de la Provincia de Corrientes , en su sistema informático, se encontró hackeado y vulnerable por Página - 1 - de 4 “2013: AÑO DEL SESQUICENTENARIO DE LA FUNDACION DE ALVEAR y LAVALLE” –LEY 6.177– Diputado Cr. Ramón A. Simón Pagina web http://www.betosimon.com.ar Honorable Cámara de Diputados Provincia de Corrientes casi 78 Hs., acto cometido supuestamente por HighTech Brazil Hack Team, y con motivaciones no esclarecidas a la fecha . PROYECTO DE RESOLUCION De acuerdo a personas especializadas en tema informático, se concluye que el Instituto de Previsión Social de Corrientes ( I.P.S.) - según Nic.ar, Secretaría Legal y Técnica Presidencia de la Nación - indica en su registro que los DNS (en español: sistema de nombres de dominio : es un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada) , son los encargados de poder realizar el correcto enlace con el nombre de Dominio (www) al servidor físico (PC de Alta Prestación) y mostrar en el navegador el sitio Web peticionado. En esta entidad los DNS se establecen como ns1.sitelutions.com y ns2.sitelutions.com, servicio gratuito mundialmente conocido para redireccionamiento de sitios Web, en este caso el mismo se realiza a una IP de Gigared perteneciente al IPS (IP a hoy 190.7.26.53), indicando que la Web se transmite desde su red interna. Es aquí donde existe la peligrosidad de la fácil vulnerabilidad y necesidad de una pronta solución del problema - con mejoras en sistema de seguridad informática - que en la actualidad, este lapso de tiempo de “ataque” o “hackeo” es sumamente comprometedor. En informática, un hacker o pirata informático es una persona que pertenece a una de estas comunidades o subculturas distintas pero no completamente independientes. Cuando algún informático malintencionado o grupo de explotación de vulnerabilidades (Hackers) se disponen a realizar lo que se denomina un “Ataque”, están buscando sus puntos débiles a través de “Exploits”, el cual si se tiene éxito permite la toma de control del sitio atacado, en el menor de los casos se realiza, para confirmar el éxito, lo que se denomina “Defaced”, únicamente un cambio de la página visualizada por defecto. El verdadero peligro radica que ante esta primera puerta abierta, las siguientes pueden ser franqueadas. Permitiendo llegar al verdadero corazón de los sistemas, sus códigos, políticas de seguridad y bases de datos. Habilitando, por ejemplo, un cambio de haber, la eliminación de un afiliado o informar datos erróneos. (Expedientes, haberes, etc.). A este momento el sitio se encuentra nuevamente operativo, cabe aquí cuestionarse si: ¿Se ha detectado el hueco de seguridad que permitió el ingreso? ¿La integridad de datos se ha mantenido? ¿Se encuentran los datos de los afiliados asegurados y protegidos? ¿Se tomaron las medidas necesarias de prevención y planes de contingencia? ¿Qué garantías se ofrecen ante cyberataques? Página - 2 - de 4 “2013: AÑO DEL SESQUICENTENARIO DE LA FUNDACION DE ALVEAR y LAVALLE” –LEY 6.177– Diputado Cr. Ramón A. Simón Pagina web http://www.betosimon.com.ar Honorable Cámara de Diputados Provincia de Corrientes PROYECTO DE RESOLUCION En 78 Hs, si el dato de ingreso, se transmitió en redes underground, pudieron haber sido cientos o miles de hackers “jugando” con la red del IPS. Las motivaciones de uno o cientos de hackers “jugando” con la red del IPS pueden ser variadas, según los puntos de vista de quién opine: Desde políticas, para presentar flancos débiles en el Organismo Previsional de Corrientes y desprestigiarlo con vistas a futuros cambios , pasando por económico-financieras, para modificar haberes previsionales, generar retroactivos, borrar deudas , también de ocultamiento, por posibles ilícitos cometidos en períodos anteriores: Generación de beneficios ilegales, llamados comúnmente “truchos” ; pagos de retroactivos indebidos ; pagos de haberes superiores a los que correspondieren, entre otros, o también para apropiarse de toda una base de datos de más de 24.500 personas con datos integrales respecto de la persona, familiares, domicilio, haberes, caja de ahorro donde son depositados los mismos, etc. O simplemente un “juego”, de los hoy denominados “cyberataques” de un hacker1 o pirata informático: Es por ello que -independientemente de las motivaciones, la gravedad del hecho ocurrido amerita conocer informaciones desde el propio Organismo, a fin de poder evaluarlas-. POR ELLO: LA HONORABLE CAMARA DE DIPUTADOS DE LA PROVINCIA DE CORRIENTES RESUELVE : ARTICULO 1º: Solicitar al Instituto de Previsión Social de Corrientes (I.P.S.) confirme a la mayor brevedad, si el sistema informático del Organismo se encontró hackeado y vulnerable por casi 78 Hs., acto cometido supuestamente por HighTech Brazil Hack Team. ARTICULO 2º: En caso de confirmación del hecho, que se informe respecto de las acciones del Organismo a fin de : a) Detectar el hueco de seguridad que permitió el ingreso; b) Si la integridad de datos se ha mantenido ; c) Si se encuentran los datos de los afiliados, beneficiarios y/o iniciadores de expedientes asegurados y protegidos ; d) Si se tomaron las medidas necesarias de prevención y planes de contingencia ; f) detalle del protocolo de seguridad informática del Organismo. Página - 3 - de 4 “2013: AÑO DEL SESQUICENTENARIO DE LA FUNDACION DE ALVEAR y LAVALLE” –LEY 6.177– Diputado Cr. Ramón A. Simón Pagina web http://www.betosimon.com.ar Honorable Cámara de Diputados Provincia de Corrientes ARTICULO 3º: Complementando las informaciones anteriores, se solicita: Se confirme o desvirtúe versiones surgidas dentro del propio Organismo que en el segundo semestre del año 2012 se habrían detectado otorgamiento de beneficios previsionales ilegales, acreditados en cajas de ahorros en sucursales del Banco de Corrientes SA en distintos puntos de la Provincia, sin que estos beneficios – jubilaciones y/o pensiones, tengan el respaldo documental, formalidad y acreditación de requisitos que exige la Ley 4917-to-. ARTICULO 4º: De confirmarse lo planteado en artículo anterior, se solicita informe que medidas internas – Sumarios administrativos; controles; recupero de lo erogado indebidamente, etc - se han tomado desde el Organismo. ARTICULO 5º: De Forma. Página - 4 - de 4