En la Provincia de Córdoba tenemos el triste privilegio, desde hace casi 30 años, de contar con un Consejo Profesional de Ciencias Informáticas de matriculación obligatoria (el CPCIPC). En virtud de una ley que supieron lograr en el año 1987, regulan el ejercicio de «la profesión informática» (como si tal cosa pudiera siquiera definirse). Sí, en Córdoba para desarrollar profesionalmente cualquier actividad relacionada con la computación hay que tener un «título habilitante» y pagar la matrícula del Consejo Profesional.
Hace unos días, y desoyendo la voz de especialistas, la Legislatura de Córdoba aprobó una ley que ordena el uso de voto electrónico en las elecciones provinciales. Amén de implementar un sistema más que cuestionado, la norma pone en manos del CPCIPC la fiscalización (limitando la posibilidad de ser fiscal informático partidario a quienes estén matriculados) y seguramente sea también el CPCIPC quien asuma el rol principal en la realización de las auditorías del sistema informático a utilizar.
Lo que sigue es un ejemplo más del lamentable nivel de los informáticos nucleados en el CPCIPC.
El sitio web del CPCIPC
El programador Federico Heinz (que hace unos días publicó una excelente nota sobre el tema) hizo notar en Twitter que el sitio del CPCIPC tenía un ridículo sistema de autenticación para el acceso de los matriculados:
En https://t.co/i4jSOkpZqH el login requiere dos datos: # matrícula y DNI. Adiviná que hay en https://t.co/eeyuWAuVp6? #NoDanMasDeInútiles
— Fede Heinz (@fheinz) 9 de enero de 2017
No pasó mucho tiempo hasta que algunos tuiteros comenzaron a ingresar al sistema usando los números de matrícula de las autoridades del CPCIPC (publicados en el mismo sitio) y su DNI (dato fácilmente obtenible si se tiene el nombre completo de la persona).
@fheinz @mis2centavos Ya estoy logueado como el presidente. Me estoy tentando de hacer alguna maldad, muejejeje pic.twitter.com/WdqhBvVqdt
— Elvira de Musicardi (@pitersoap) 10 de enero de 2017
@pitersoap @mis2centavos POR FAVOR NO ENTREN. La seguridad es patética, pero no es razón para violarla.
— Fede Heinz (@fheinz) 10 de enero 2017
De nada sirvió el pedido de Federico Heinz, para algunos la tentación fue muy grande:
@mis2centavos jajajaja quien fue!? :P pic.twitter.com/HaZDAe4vVv
— Maxi Biscardi (@MaxiBiscardi) 10 de enero de 2017
Alguien más encontró un error todavía más grosero: en el sitio del CPCIPC había un script que permitía descargar cualquier archivo del sistema que fuese accesible por el servidor web:
@fheinz https://t.co/TlTh0J7ben y acá te dejan descargarte lo que quieras.
— Gonza Cabrera (@_gonzacabrera) 10 de enero de 2017
Este es el código del script «downloader.php» que se encontraba en el servidor:
¿Cómo es que los sesudos profesionales del CPCIPC cometieron este error digno de un principiante? Fácil: copiando y pegando código de la documentación de PHP:
Pero evidentemente, los errores en el sitio del CPCIPC no se agotaban. Unos minutos después, ya alguien había modificado el contenido (reemplazando las fotos de las autoridades por la del dueño de la empresa MSA Sergio Angelini, vendedora de voto electrónico):
@mis2centavos Bue, se fueron al carajo.
Este es el actual estado de https://t.co/hHjsear4L9 pic.twitter.com/G7OCSFN4FZ
— Luciano Bello (@microluciano) 10 de enero de 2017
Más tarde, el sitio del CPCIPC ya estaba completamente «defaceado«:
Hoy por la mañana, parece que ya estaban solucionando los problemas (o al menos algunos de ellos):
Lo instalamos entre todos? pic.twitter.com/CZXHyB9UUy
— mdl (@MadlySeason) 10 de enero de 2017
Solución de los guardianes monopólicos de la seguridad informática: eliminar la posibilidad de que los usuarios/colegiados se logueen pic.twitter.com/5bjVKSH850
— Delia Ferreira (@DeliaFerreira) 10 de enero de 2017
¿Algo más? Sí. Como era de esperar, y para completar la vergüenza, el servidor del CPCIPC ya había sido crackeado con anterioridad, por alguien que lo infectó con software que lo convierte en parte de un red de máquinas esclavas (botnet):
@cpcipc buenas muchachos, se les metió una porquería en el webserver vaya uno a saber hace cuanto https://t.co/JSPG4br5LY
/lib/libudev.so
— mega (@iglosiggio) 10 de enero de 2017
@cpcipc de paso miren el crontab
— mega (@iglosiggio) 10 de enero de 2017
(Si, el servidor del CPCIPC podría ser usado por terceros para realizar ataques distribuidos de denegación de servicio. En definitiva, quienes lo descubrieron les hicieron un favor).
Conclusión
Esta es la gente que amenaza con denunciarme por «ejercicio ilegal de la informática» por presentarme en el Congreso de la Nación como programador y especialista en informática:
Es la gente que «tutela el ejercicio de la profesión» y realiza inspecciones en la Provincia de Córdoba para determinar quién puede trabajar en informática y quién no:
También es la gente que se dedica a promocionar el sistema de voto electrónico de la empresa MSA y se ofrece a auditarlo en las elecciones:
Y es la gente que, gracias a la nueva ley provincial, tendrá el monopolio de la fiscalización electrónica en las votaciones por venir.
Gente que no puede implementar razonablemente un sistema de usuario y contraseña para autenticar a sus matriculados. Gente que no puede escribir una aplicación siguiendo los lineamientos básicos de seguridad. Gente que no puede ni siquiera mantener un servidor web sin transformarse en el hazmerreír de los programadores del resto del país. Ese es el Consejo Profesional de Ciencias (o «Carencias«) Informáticas de la Provincia de Córdoba.
Claro, gente que no puede asegurar ni una web, que además comete groseros horrores de diseño, pretende normar y dirigir, y para colmo, auditar (!) un sistema de voto electrónico.
Cuánta fanfarria, cuánto circo…
Ya sabemos que el CPCIPC solo existe gracias a la ley que supieron conseguir. Los mejores profesionales no se hallan colegiados, hay es un club de la tercera edad informática. La Legislatura debería intervenir el Consejo con el apoyo de una universidad y terminar con este club que avergüenza la profesión.
excelente!
Che averiguaron si entre los del CPCIPC hay alguno que este contra el voto electrónico? Digo, pa que no salga a hablar y se transforme en el Tonelli de este lado, no??
Me asombro la cantidad de emplkeo que tienen en la bolsa de trabajo , en el sitio , jajajaaaaaaaa
http://www.ciec.com.ar/sitio/index.php
En cordoba hay un colegio de ingenieros especialistas, en los cuales los que tienen el titulo de Ingeniero en Sistemas pueden hacer la respectiva matriculacion.
Lo curioso del tema es que en sus comienzos, al personal idoneo sin titulo que trabajaba en el rubro se le reconoció la experiencia como personas idoneas y se les permitio matricularse como «tecnicos informaticos o analistas» si no me engaña la memoria.
Es extraño que ahora sostengan un argumento contrario a las ideas que llevaron a su formacion.
Saludos desde Córdoba.
Asi es Marcos, toda la primera camada de matriculados al consejo fueron idoneos, lo comico es que, asi como matricularon a todos los que por esos años estaban laburando en el rubro, le negaron la matricula a todos los analistas de la primera camada de la UTN, porque «no tenian la carrera de grado completa»
Todavia me acuerdo las peleas familiares que eso origino, mi viejo idoneo y matriculado, su hermana analista de sistemas recibida y cursando quinto de ingenieria en la UTN, denegada! Impresentables desde siempre.
La verdad no quiero ser mal pensado, pero aparte de su ineptitud sobretodo en materia de seguridad, no tendrán otros intereses funcionales con el tema del voto electrónico y su vulnerabilidad precisamente? por ahí tal vez los ataques a tu persona. Saludos
Gente que no sabe configurar su teclado para que los acentos sean los correctos. Esa gente es la que va a fiscalizar las elecciones.
para empezar, php en pleno siglo dieci..veint…y uno?
PHP
hijos de puta.. fusilarlos es poco.
¿Qué tiene de malo PHP?
De castigar habría que castigar a todos aquellos que en sus páginas web utilizan Flash o Java en el lado del cliente, por ejemplo.
Ojo, especifico muy claramente «lado del cliente», a mi me viene sin cuidado lo que utilicen en el servidor, allá cada cual con sus preferencias.
Vergüenza, mucha vergüenza me da. Como siempre, la política decide con el bolsillo de la gente en vez de usar la razón y el sentido común. Extremos los horrores del sitio…
Jajaja, son unos negreros, miren los honorarios que fijaron para los «profesionales»… No se pueden poner de acuerdo los profesionales en Cordoba y sacar a estos perdedores?
Lo interesante de la denuncia contra tu persona es que las leyes provinciales no pueden estar por encima de la Constitucion Nacional o sea no pueden prohibir tu derecho al trabajo:
Artículo 14.- Todos los habitantes de la Nación gozan de los siguientes derechos conforme a las
leyes quE reglamenten su ejercicio; a saber: de trabajar y ejercer toda industria lícita…
Artículo 14 bis.- El trabajo en sus diversas formas gozará de la protección de las leyes, las que
asegurarán al trabajador: condiciones dignas y equitativas de labor;…
En ningun lado habla de tener que inscribirse a ningun Consejo Profesional para ejercer tu labor…..
Entiendo que la seguridad es patetica, pero hablar mal de PHP, un lenguaje que persiste en el mercado, que sigue actualizandose y que muchas grandes empresas lo siguen usando, me parece poco profesional
Fá, ¡récord! Falacia de autoridad y falacia de popularidad en el mismo comentario.
Si, pero no deja de ser poco profesional el comentario que critica un lenguaje porque si, ya que no da argumentos.
Hace 18 años que programo en PHP y no conozco ningún lenguaje que sea tan versátil, y conozco unos cuantos.
En los últimos años han salido varios lenguajes que buscan sustituir a PHP… duro camino tienen.
No tiene sentido discutir esto, todos los lenguajes tienen sus cosas buenas y malas (y aplicaciones prácticas). Coincido con vos que es poco profesional el comentario. Es de principiante. Cortemos aqui esta discusión absurda.
Lo que es patético que los supuestos idóneos en el tema informatico tengan un sistema que sea tan burdo en seguridad, minimamente se debería aplicar alguna sansion por mala praxis.
No se cuan constitucional es la ley que los ampara pero de algo estoy seguro: cualquier ley debe ser igual para todos, o sea si en cordoba un programador no puede hacer software sin estar matriculado tampoco puede comprar software realizado por un no matriculado, esto seria el equivalente a: un arquitecto argentino para firmar un plano debe estar matriculado pero uno americano no o bien un medico lo mismo. Otra cosa que pocos conocen es que las matriculas se usan para firmar y dar fe publica, un contador para ejercer no necesita matricula de hecho todas las personas que están en una empresa en el área de administración no son matriculados, ahora la IGJ para que un balance sea valido pide que este firmado pór un matriculado. El arquitecto lo mismo y así con el resto de las matriculas.
Quizas en sistemas para desarrollar algunos proyectos algún ente exiga que este firmado por un matriculado, ahora el solo hecho de hacer un software que este «penado» es a mi juicio ilegal porque como dije antes la ley debe ser igualitaria para todos.
Propongo que generemos un pedido en change.org para que el consejo «profesional» desaparezca. Es absurdo. Fede Heinz un capo.
El tema de la constitución es que dice que puede reglamentarse el ejercicio. Esa parte hace que no sea inconstitucional. Hay que bajar esa ley por chota, no por inconstitucional.
Si… una ley prehistorica en contramano de la inexorable realidad… porque, seamos realistas, la mayoria de los que estamos activos en el rubro, no tenemos título «habilitante». Es una ley «chota» que atenta contra la tristisima realidad de desocupación que tiene nuestro país. Y lo peor, la idoneidad no es algo que se pueda regular… o le van a negar la matricula a un profesional NO idóneo? De tu profesión, habla tu vocación. Negar la posibilidad de trabajar, si es inconstitucional.
oh!!!
Que irresponsabilidad! Esta gente es un desastre!