Por Orlando Rojas Pérez – El Ministerio TIC por intermedio de la Comisión de Regulación de Comunicaciones -CRC-, nos hizo llegar la carta que enviaron a la Fundación Karisma, respecto a su informe sobre la herramienta para conocer el estado de los números IMEI de un teléfono móvil, más exactamente si está en la lista blanca o en la negra, de la base de datos. El Informe Karisma destaca varias inseguridades e inquietudes.
Ver nota:
Escandaloso informe sobre imeicolombia.com.co
Fundación Karisma: inseguro, funcionaría en Argentina y no cumple normas.
En resumen, el MinTIC responde:
En general la carta del MinTIC, refuta las recomendaciones, pero acepta reconsiderarlas.
- Los sistemas y bases de datos se encuentran en Colombia.
- Los servidores del registro IMEI, operan con la hora de Colombia.
- Acoge la sugerencia de informar que es un sitio gestionado por privados con información del Estado.
- Los datos tratados no son de carácter personal, ni sensibles, por lo que los responsables no deben completar el enlace de Aviso Legal que aparece en el sitio Web. No obstante, el MinTIC le sugerirá al administrador dar información más clara en el sitio Web.
- Son temas de los contratos PRSTM y ABD, se revisará el alcance a fin de determinar la pertinencia de lo sugerido.
- Sobre la impelmentació de código HTTPS en lugar de HTTP, es una oportunidad de de mejora, el MinTIC realizará gestiones ante ABD para fortalecer su operación.
- El sitio Web tiene un dominio .com que es comercial, por no ser operado por el Estado, el MinTIC analizará la posibilidad de manejar un dominio diferente.
- El servidor opera con con la hora correcta y sincronizada.
Entrevista con Karisma
Evaluamos contactó a la Fundación Karisma y conversó con Carolina Botero Cabrera su directora, las principales preguntas fueron:
Evaluamos: ¿Karisma recibió esta carta antes o después de publicar su informe?
Carolina Botero Cabrera: “La carta del MinTIC, nos llegó tarde, sobre la hora de la publicación del informe, por esa razón, en nuestro sitio Web incluimos un comentario al respecto y también dicha carta”.
Imagen de lo publicado por Karisma sobre la carta del MinTIC.
Evaluamos: ¿Es cierto que la hora del servidor es la hora de Colombia?
Carolina Botero Cabrera: “Después de recibir esta carta del MinTIC, volvimos a revisar la hora del servidor y ésta no corresponde con la hora de Colombia.
Evaluamos: ¿Es cierto que el servidor y el sistema ya no están expuestos a vulnerabilidades?
Carolina Botero Cabrera: “Es correcto que instalaron una nueva versión al servidor y que ahora la vulnerabilidad citada antes ya no corre peligro, pero esta versión instalada no es la última y por lo tanto sí corre peligro por otras vulnerabilidades. La mejor práctica es tener siempre instalada la última versión”.
Evaluamos: ¿Es legal tener la información de colombianos en el exterior?
Carolina Botero Cabrera: “La ley colombiana acepta que la información de colombianos se encuentre en otros países, siempre y cuando se cumplan las mismas normas que se exije en Colombia. Preguntamos: ¿Esto ya se revisó?”
Evaluamos: ¿Acaso el IMEI no es como un apellido del número del teléfono móvil? ¿No es información sensible, personal y privada?
Carolina Botero Cabrera: “El IMEI sí es una información sensible y personal, es una extensión del número móvil del usuario. El IMEI sí es un dato personal del usuario”.
Imagen completa de la carta del MinTIC a la Fundación Karisma
Ver nota:
Escandaloso informe sobre imeicolombia.com.co
Fundación Karisma: inseguro, funcionaría en Argentina y no cumple normas.
e
