En un dels períodes de màxima activitat de l’agència tributària, l’Altaveu ha pogut visualitzar -que no pas accedir- com de senzill pot arribar a ser l’accés al servidor. I si en les carpetes que aquell moment hi apareixen algun obligat tributari hi acaba de dipositar la seva declaració o algun funcionari ha guardat allí algun arxiu, es poden arribar a consultar o fins i tot xuclar. Una alerta anònima, exemplificant el que denunciava, va posar sobre la pista aquest mitjà. I diverses fonts tècniques que han confirmat el fet i n’han explicat el motiu. Els experts consultats han explicat, alhora, que els responsables del portal són conscients de la seva fragilitat. Perquè de tant en tant hi posen tiretes per mirar de minimitzar els perills.
Les moltes vulnerabilitats que presenta el sistema Windows permet arribar a accedir a les carpetes on es guarden declaracions d’obligats tributaris
¿Què és el que passa? “En lloc de crear una plataforma nova, una pàgina web específica, han publicat directament el servidor” amb la qual cosa, quan després d’accedir a impostos.ad i triar l’apartat d’oficina virtual i disposar-te a voler fer una declaració nova, sense necessitat ni tan sols de registrar-te, amb temps, paciència i alguns coneixements no cal ni ‘logejarte’ -en l’argot usat pels tècnics, que procedeix del terme anglès ‘login’- per poder entrar fins a la cuina de Tributs.
Segons els tècnics consultats, els responsables del disseny del sistema han de ser conscients, d’una manera o altra, del perill que corren, ja que des de segons quins països no es pot accedir a la pàgina. Que no és una pàgina realment. És una simulació. “Han publicat directament el servidor i això des del punt de vista tècnic és una bestiesa”, afirmen les fonts que hi afegeixen que “un servidor Windows és superfàcil (de poder-hi trobar forats) perquè apareixen vulnerabilitats cada dia”.
L’accés, doncs, és més senzill gràcies a aquestes vulnerabilitats que sofreix constantment Windows, que és en l’entorn en què s’ha confeccionat el servidor en qüestió. Si és tenen els coneixements suficients per reconèixer alguns d’aquests forats, oli en un llum. Cal veure, llavors, si el servidor gaudeix d’un manteniment de seguretat adequat. Per això s’ha d’anar actualitzant el sistema per tal que aquest es vagi autoreparant. Cicatritzi forats vells. Com més temps passa entre actualització i actualització, més forats hi ha.
Els darrers dies s’ha actualitzat el sistema i s’ha reduït el risc, però fins fa poques setmanes la darrera actualització datava del 7 d’octubre
Els darrers dies, conscients els responsables del departament de tributs de l’alta activitat que tindrien, s’a actualitzat el sistema i, en conseqüència, s’ha reduït el risc de poder entrar fins al fons del servidor. Però quan l’Altaveu va visualitzar, fa ben poques setmanes, el camí que podia permetre l’accés al servidor, aquest advertia que el darrer cop que s’havia arrancat de nou el sistema, que és l’equiparació a l’actualització del mateix, era el 7 d’octubre del 2017. Havien passat, doncs, prou dies com perquè hi hagués forats i possibilitats d’accedir al servidor. I el servidor està immers dins la xarxa general de Govern. I un cop s’és dins d’un…
Amb uns coneixements una mica suplementaris de la tècnica informàtica hom es pot arribar a crear -amb les eines necessàries que es poden trobar a la xarxa mateix- un perfil de superadministrador que podria arribar a facilitar un accés sinó general sí molt ampli. En el cas del servidor de tributs, que és el que els tècnics n’han pogut constatar clarament les deficiències, és ben evident que es poden arribar a entrar a unes carpetes internes del departament on de forma temporal es guarden declaracions de tota mena (societats, IRPF, IGI…). Si en el moment que s’accedeix al servidor la carpeta és plena o hi conté algun document, aquest document es pot visualitzar sense cap mena de problema. I així s’exposen fàcilment les dades dels subjectes obligats.
Queixes perquè els concursos sovint estan ‘teledirigits’
Alguns dels tècnics consultats per fer les comprovacions derivades de l’alerta anònima han lamentat, també, que molts dels concursos que convoca el departament de sistemes de la informació de Govern estan, tot sovint, ‘teledirigits’ des de l’inici. Concursos perquè empreses es puguin fer càrrec del manteniment de les plataformes i altres elements similars estan dissenyats, indiquen les fonts, perquè s’adjudiquin a determinades empreses, gairebé sempre la mateixa i gairebé sempre, també, estrangeres. “Amb la qual cosa les companyies del país no cal que ens gastem ni un cèntim d’euro a presentar-nos. Sabem que no ens adjudicaran la feina.” Qualsevol empresa, en funció de la feina que s’hagi de fer, depèn d’altres proveïdors. I aquests proveïdors donen un ordre de preferència en funció de l’ordre de qui demana preu. A qui primer s’interessa per un producte se li ofereix un preu que ja no s’oferta als següents, amb la qual cosa aquestes darreres ho tenen més complicat per poder presentar una proposta competitiva. O, almenys, més competitiva que el primer que s’ha interessat. ¿I què passa? Denuncien alguns dels consultats que molts cops, abans que apareguin els edictes, hi ha empreses que ja han agafat ‘número’ amb el proveïdor. Perquè, suposadament, ja sabien que es convocaria el concurs. I l’empresa tot sovint és la que ja prestava el servei per a l’administració i la que s’acaba adjudicant, de nou, el mateix servei.
Comentaris