█████▒▄▄▄       ▄▄▄▄    ██▓ ▒█████        ▄████▄  ▒█████   ███▄ ▄███▓      ▄▄▄       ██▀███  
▓██   ▒▒████▄    ▓█████▄ ▓██▒▒██▒  ██▒     ▒██▀ ▀█ ▒██▒  ██▒▓██▒▀█▀ ██▒     ▒████▄    ▓██ ▒ ██▒
▒████ ░▒██  ▀█▄  ▒██▒ ▄██▒██▒▒██░  ██▒     ▒▓█    ▄▒██░  ██▒▓██    ▓██░     ▒██  ▀█▄  ▓██ ░▄█ ▒
░▓█▒  ░░██▄▄▄▄██ ▒██░█▀  ░██░▒██   ██░     ▒▓▓▄ ▄██▒██   ██░▒██    ▒██      ░██▄▄▄▄██ ▒██▀▀█▄  
░▒█░    ▓█   ▓██▒░▓█  ▀█▓░██░░ ████▓▒░ ██▓ ▒ ▓███▀ ░ ████▓▒░▒██▒   ░██▒ ██▓  ▓█   ▓██▒░██▓ ▒██▒
 ▒ ░    ▒▒   ▓▒█░░▒▓███▀▒░▓  ░ ▒░▒░▒░  ▒▓▒ ░ ░▒ ▒  ░ ▒░▒░▒░ ░ ▒░   ░  ░ ▒▓▒  ▒▒   ▓▒█░░ ▒▓ ░▒▓░
 ░       ▒   ▒▒ ░▒░▒   ░  ▒ ░  ░ ▒ ▒░  ░▒    ░  ▒    ░ ▒ ▒░ ░  ░      ░ ░▒    ▒   ▒▒ ░  ░▒ ░ ▒░
 ░ ░     ░   ▒    ░    ░  ▒ ░░ ░ ░ ▒   ░   ░       ░ ░ ░ ▒  ░      ░    ░     ░   ▒     ░░   ░ 
             ░  ░ ░       ░      ░ ░    ░  ░ ░         ░ ░         ░     ░        ░  ░   ░     
                       ░                ░  ░                             ░                     

Esto que sucedió es raro, en Argentina la tendencia gubernamental suele ser la de atacar y acusar a quien hizo algo por el bien de todos, y si ese algo es exponer una vulnerabilidad, mucho peor.

No se concibe, usualmente, el concepto de White Hacking, persiguieron a quienes expusieron las fallas de las máqinas de voto electrónico al punto de allanarlos y procesarlos. Cuando uno expuso las vulnerabilidades de los sistemas de la policía le inventaron una causa con datos falsos sólo para tapar la irresponsabilidad de la fuerza.

En el caso que les comentaré fue el juez el que hizo todo lo contrario y esto sí que es raro.

Ariel Ortmann un día se dio cuenta que en el home banking del Banco Nación estaba todo mal hecho, no es raro, casi todos los bancos que dependen de alguna (o total) forma del estado tienen equipos de desarrollo paupérrimos que se llevan MUY MAL con cualquier cosa que pueda aparentar modernidad (aunque sean cosas de hace 20 años).

En la denuncia realizada por la abogada del banco constaba lo siguiente:

"se autenticó y mediante técnicas específicas para detectar vulnerabilidades en sistemas informáticos modificó a su favor la cotización del dólar dentro de su navegador"

Y qué hizo Ariel? Compró miles de dólares a una cotización falsa, muy baja, no los usó ni los tocó, era su reclamo en forma de evidencias.

Obviamente desde el banco lo denunciaron pero he aquí que el juez Marcelo Martínez de Giorgi tuvo una visión totalmente distinta a ese paradigma de "al botón hay que matarlo" que se suele aplicar en Argentina.

Dijo el juez:

"el objetivo era demostrar deficiencias de seguridad y no una defraudación"

Es que Ortmann había contactado por todos los medios al banco para explicarles lo idiota de su sistema, uno que desde el browser podía cambiar la cotización. Sí, así de imbécil como les suena porque no hay nada peor que dejar en javascript el valor de cotización que DEBERÍA SER DEL LADO DEL SERVIDOR SIEMPRE.

Así de malos programadores son, pero no sólo malos programadores, tampoco hay una forma de comunicación, un canal, una vía que permita reportar bugs.

Pareciera que dicen "Mis bugs no te importan y si no te gustan jodete".

Pero hay un problema con esta visión y es que el banco tiene TU dinero en custodia, es su responsabilidad cuidarlo, por algo lo tenés en un banco y no en un colchón. Pero como es el Nación hacen lo que se les canta "yo estoy por encima del cliente" es la usual filosofía, caso contrario, te inventamos una causa judicial.

Es interesante también cómo le cuesta a los abogados y letrados en general entender cosas básicas de internet. El "hacker" no atacó nada, no instaló nada, todo browser te permite editar los parámetros con las herramientas de desarrollador que ya traen, no hace falta mucho para cambiar una coma de lugar.

El error era ciento por ciento del developer que cometió ese error de principiante combinado con la falta absoluta de QA, de testing y especificaciones que seguramente estaban mal definidas. Es todo el proceso de desarrollo el que falló.

Por ejemplo, para deslindar responsabilidad, Cristian Patti, Gerente de Seguridad Informática y Prevención de Fraudes de la firma Red Link, dijo que Ortmann utilizó un programa especial para llevar a cabo las maniobras pero "que ese programa fue instalado en su computadora personal y no en el servidor de la Red Link".

No hace falta instalar ningún programa especial, puede ser Chrome o Firefox, tu sistema de home banking es una mierda, seguramente el servidor está perfecto, pero de web no entienden nada.

Bien por el juez en este caso!