A causa de un error de programación, la página dejaba a la vista el nombre completo, DNI, número de teléfono, fecha de nacimiento y los números de identificación sanitaria tanto autonómicos como nacionales de cualquier ciudadano cuando se hacía una solicitud de cita con su número CIPA (Código de Identificación Personal de la Comunidad de Madrid).
|
etiquetas: madrid , brecha , seguridad , pacientes , autocita , vacunacion , protección
Los problemas casi nunca se deben a errores técnicos, sino de organización y procedimientos.
Los problemas casi nunca se deben a errores técnicos, sino de organización y procedimientos.
si el programador hubiera realizado su trabajo correctamente no hubiera importado si la auditoría existe o ha sido incorrecta
Obviamente están escupiendo toda la entidad serializada en un json en vez de lo estricto necesario a través de un modelo o tipo anónimo.
En fin, otro que no tiene ni idea de ingeniería del software tratando de dar lecciones.
En fn, paso de trolls.
¿podrías actualizarlo?
¿Hay que cantar Bingo?
.
¡Vaya locura!
El programador muchas veces no es más que un brazo ejecutor. Dependiendo de su experiencia pues tendrá más o menos luces para ver que lo que se está haciendo es o no una ñapa/incorrecto. Y dependiendo de la autonomía y confianza que les den pues levantaría el error hacia arriba, o se la sudaría y lo hace igual.
Hay mucha gente y muchos roles.
Programadores bien pagados, puestos al día en tecnología de estos que curran desde casa para empresas americanas y hacen verdaderas obras de arte tecnológicas de las que toda la sociedad se pudiera beneficiar.
Si es lo primero, pues tampoco veo que sea un error tan grave. Esos datos deberían poder verse en otra pestaña...
Se cometen errores SIEMPRE.
Y por ello hay que realizar test completos de las aplicaciones, y seguir todos los procedimientos diseñados para evitar que esos errores terminen en cosas como estas.
Así precisamente es como ha evolucionado el software, no tanto en trabajo de codificación, sino en trabajo de diseño, validación y pruebas de la codificación.
-informatico: hola sr politico tenemos que hacer la pagina para el tramite X.. por seguridad, vamos a pedir a los ciudadanos que pongan el certificado digital o dni electronico para entra...
-politico: como que certificado? que mi cuñao me ha dicho que es un lio.. y lo del denei ni pensarlo, que es cosa de sociatas/peperos (ponga loque corresponda) y ademas falla mas qeu una escopeta de feria.
-informatico: pero es qeu entonces, que dato vamos a pedir para saber quien entra? les repartimos un passwd?
-politico: pos a mi el banco me manda un pin por esemeese
-informatico: vale, pidale a todos los ciudadanos un nº de telefono porque no tenemos el dato.. eso si, alguno se negará a dar el dato
-politico: pues no se, pideles el dni o el nombre de su gato, no?
-informatico: ya pero es que en este tramite necestiamos autenticacion fuerte porque..
-politico: que cojones de fuerte? tu pideles el nombre de su gato y ya esta! ah, y todo esto me lo haces por la mitad de lo que habeis presupuestado, eh? porque necesitamos el presupuesto para renovar el coche del consejero....
En un avión exigirias lo mismo, no ? por qué aqui "si hubiera hecho bien su trabajo entonces no habria ocurrido" ?
La cita previa de vacunación es un poco diferente. Es una necesidad sobrevenida que ni estaba prevista ni forma parte de la modernización y es muy urgente. No se ha validado debidamente, seguramente por ahorrar tiempo y dinero.
Porque un equipo no es suficiente para acometer todas las necesidades de "la administración"
Porque un equipo no va a estar capacitado, con el trascurso del tiempo, para las necesidades de "la administración"
En mi opinión no lo es y un ejemplo se puede ver en UK con las fintech companies innovando a una velocidad de empresa de software moderna vs la banca tradicional yendo a rebufo con sus servicios web y apps.
"Si hubieran hecho bien su trabajo no haría falta".
No me refería a un único equipo para todo. Me refería a, en general, ¿Por qué las administraciones que usan tecnología no tienen gente técnica para desarrollarla y mantenerla en plantilla en vez de externalizarlo?
Hubo tiempo de sobra para hacer esa aplicación. Y dinero de sobra. Lo que no hubo son ganas de vigilar que se hacía bien.
Se dio carpetazo para evitar la anulación de todos los juicios celebrados en España mientras estuvo el bug presente. El estado de derecho no puede asumir esos riesgos.
Luego cuando se da el concurso la cárnica amiga del politico de turno esta ya pone a sus becarios ha hacer el proyecto, porque con los indices de rotación que tienen incluso alguno de esos ya ni trabajaran en su empresa.
Conclusión: lo acaba haciendo un recién salido de la universidad/ciclo
Se tapó, ya que asumir las consecuencias (había documentos, declaraciones, datos personales, etc, que no podían estar a disposición de la otra parte en algunos momentos del juicio y que los dejaban en indefensión) implicaba, como he dicho, anular miles de juicios en España: liberar maltratadores, pederastas, asesinos, ....
Como he dicho, un Estado de Derecho moderno no puede permitirse eso.
También debería haber alguna revisión de código donde algún programador senior detecte la cagada, si es que vamos a echarle la culpa a que no tiene experiencia.
Lo que le falta a muchas administraciones son directores de proyectos TI eficaces. Todo lo buenos que son en ADIF planificando y gestionando la construcción de infraestructuras ferroviarias con costes contenidos, sin grandes desviaciones presupuestarias es la metodología que falta en TI en la administración. Eso de darle el proyecto a una empresa y que al propia empresa capture los requisitos y diseñe todo ha demostrado ser una mala idea en todos los ámbitos.
Debería ser la propia administración quien diseñe toda la arquitectura y subcontrate los trozos, como hace ADIF con las obras, pero la planificación de obra y la verificación la hacen los ingenieros de caminos de ADIF:
Si me perdonas la exageración, es como comprar un piso y que haya una puerta que da al vacío, y que el primero en enterarse sea el comprador que va a vivir allí. Es un sector en el que los errores de programación son parte del trabajo.
La pregunta es ¿la administración no realiza ningún tipo de auditoría sobre los proyectos que contrata? Pero vamos, que ya te voy adelantando la respuesta si quieres...
La noticia es esta www.eldiario.es/madrid/madrid-deja-descubierto-datos-personales-pacien
Bueno, da igual, el caso es que no se puede hacer una separación de tareas tan clara.
todo el mundo comete errores involuntariamente, es imposible hacer todo al 100%
La cuestion es q tiene q haber una cadena de calidad para comprobar q no hay errores, incluidos errores de programacion. Solo así se reduce las posibilidades de errores bastante
Por no mencionar, ¿de verdad piensas que el político que encargó la aplicación para pedir citas covid se mete en temas tan "de bajo nivel" como el formulario para autenticarse?
De todas formas, si alguien ha puesto eso en unas especificaciones, es para colgarlo, no está cualificado para el puesto.
trabajo de programador y puedo comentar, q hay una cadena enorme de pasos hasta q el software sale a la calle.
En la mayoria de las ocasiones q algo falla, se le echa la culpa al programador, y en mi experiencia, no es asi.
cc #20
Si tienes en plantilla (funcionarios, para el resto de su vida laboral) un grupo de personas (que hoy pueden ser buenísimos) estarán capacitados para un campo: bases de datos O aplicaciones móviles O páginas web (nadie sabe de todo) pero con el paso de los años la tecnología avanzará, las necesidades serán distintas, etc. y esas personas seguirán en plantilla y no te servirán de gran cosa.
Lo realmente difícil para la Administración (en mi opinión) es saber QUÉ es lo que necesita. Saber si ha de hacer un portal web, o cómo gestionar sus datos, o la digitalización de sus trabajos o cómo gestionar las relaciones con los ciudadanos.
Lo mismo que le ocurre a una empresa cualquiera, tecnológica o no.
Nadie imaginaba, hace 20 años, a los ciudadanos con un smartphone que les modificaría radicalmente las relaciones administración-ciudadano.
Y, desgraciadamente, si algo no tienen las Administraciones Públicas es "cintura" para adaptarse al cambio de manera rápida.
Una cosa es que no se comporte correctamente en algún edge case (no me sale la traducción ahora mismo), que es entendible, y otra esto, que es un error básico de seguridad. No puedes tener a un tío que no sabe lo básico programando una api pública, te pueden hacer un buen destrozo.
Entiendo que se quiera hacer el trámite lo más sencillo posible, pero entonces lo que haces es poner comprobaciones adicionales. Vale, puedes meter tu identificador al azar y dar con alguien, pues pides algún otro dato sencillo y que fácilmente puedas tener, como su DNI o su fecha de nacimiento.
Por otra parte, siempre debes tener a tu disposición los mínimos datos que necesites para trabajar, y enviarlos al usuario. Si el usuario solo necesita introducir su teléfono y confirmar la cita, pues no necesita sus datos, ni que se envíen.
A lo mejor, lo entendido mal, pero visto así es un despropósito. Pusieron al becario a hacerlo y nadie supervisó nada...
Por tanto, basta con meter el CIPA de alguien para ver datos suyos como su número de teléfono, DNI, fecha de nacimiento etc. que también es verdad que no es fácil saber el CIPA de alguien salvo que lo meta en algún ordenador compartido o algo así y se deje abierta la sesión, pero incluso podría ser posible automatizar llamadas con CIPAs secuenciales y hacerte una mini BBDD de los pacientes registrados en la sanidad madrileña, ¿esto podría hacerse? Quizá sí...
A mí me parece una cagada del analista o de quien quiera que haya diseñado ese sistema. Para empezar, si la respuesta a la consulta es la que se ve en la imagen (que no te puedes vacunar aún), no hay ninguna necesidad de devolver un JSON con esos datos que ni siquiera se muestran por pantalla ni se hace nada con ellos. Y quizá sería conveniente implementar algún sistema de doble validación por SMS o similares, o por certificado digital o lo que sea... pero bueno, eso ya no es problema técnico sino probablemente de lo que dice #26.
Pero lo de devolver eso en el JSON sí que me parece una cagada del que diseñó el sistema (no tanto de programación como de diseño técnico). Y si bien es cierto que una auditoría de seguridad lo habría detectado, y aun aceptando que #7 / #11 no parece saber mucho de lo que habla (sin ánimo de ofender), tampoco me parece que se pueda exculpar por completo a la parte técnica.
cc #5
Aquí lo que hay es un jefecillo intermedio que no ha hecho su trabajo y lo ha cobrado íntegro.
Cierto es que la tecnología avanza a pasos agigantados pero también hay otros campos (como la medicina por ejemplo) que avanzan igual de rápido y no existe la percepción de que envejecer baje puntos.
En informática, como todo en esta vida, vale lo bueno que seas en tu trabajo, el tiempo que dediques a estar al día en tecnología y tu disposición a aprender a diario, sí, a diario.
No sé si lo sabías pero en el mundo IT internacional los “seniors”, “principals” y “leads” son los puestos más cotizados porque a lo largo de los años, si han tenido una carrera brillante, han ido acumulando conocimientos que permiten no solo proporcionar soluciones más rápidas a tus problemas (es probable que hayan sufrido el mismo problema en el pasado) o directamente diseñen y hagann arquitecturas pensando en que sean robustas (da igual si es una web, un servicio web, una infrastructura o una app móvi).
Con respecto a no saber de todo te diría que la figura del full stack (alguien capaz de hacer una web, una app, un backend y una arquitectura de sistemas) es algo que existe y que está muy extendido. Lenguajes como Javascript y servicios cloud como aws han facilitado mucho la aparición de gente así.
No culpes al picacodigos, es un becario de experiencia reducida que hace solo y exclusivamente lo que le mandan, y nadie le ha mandado probar la seguridad, eso seguro.
Yo fui uno de ellos, y aprendí grandes lecciones de vida en aquella época, sobre todo a desconfiar de los sistemas informáticos de la administración.
Yo en 2013 para AAPP estaba programando con java 1.4 y desplegando cosas en un OAS. Un puto OAS.
"Seremos fascistas pero somos buenos gestores" (José Luis Martínez-Almeida, Alcalde de Madrid, portavoz del PP) Abril 2021.