Hace 2 años | Por danihr a eldiario.es
Publicado hace 2 años por danihr a eldiario.es

A causa de un error de programación, la página dejaba a la vista el nombre completo, DNI, número de teléfono, fecha de nacimiento y los números de identificación sanitaria tanto autonómicos como nacionales de cualquier ciudadano cuando se hacía una solicitud de cita con su número CIPA (Código de Identificación Personal de la Comunidad de Madrid).

Comentarios

s

#3 Es posible que no sea "solo" debido a un error de programación, pero parece evidente que haberlo lo ha habido.
si el programador hubiera realizado su trabajo correctamente no hubiera importado si la auditoría existe o ha sido incorrecta

s

#6 Cierto, trabajo en un sector donde uno asume sus errores, desconocía que en informática eso no fuera así

s

#9 Exactamente, los ingenieros de verdad

s

#12 No me extraña, no sabes leer y te inventas lo que quieres. Así como vas a reconocer errores. wall

K

#13 Venga, suerte con la EVAU. Y no te emborraches el finde, haz algo útil. Si sabes.

eldarel

#88 Es peor.
Pones un script con secuencias numéricas de CIPA y te haces un listado muy majo de DNIs, teléfonos y nombres.
Como el teléfono es móvil para el SMS, una red ciberdelincuente pide duplicados de SIMs y jauja.

h

#6 perdona, pero yo sí trabajo en esto y aunque, efectivamente, debería haber verificaciones de calidad y seguridad que cogieran este problema antes de llegar a producción, tener programadores que cometen este tipo de errores es muy peligroso. Esto es simplemente inadmisible por parte del programador. No sé puede trabajar en una web pública sin un mínimo de conocimientos sobre seguridad.

También debería haber alguna revisión de código donde algún programador senior detecte la cagada, si es que vamos a echarle la culpa a que no tiene experiencia.

h

#55 es posible, pero también se que las especificaciones no suelen llegar a ese nivel de detalle, y aún así, como programador, mi trabajo también sería detectar problemas en las especificaciones. Que no somos albañiles.

De todas formas, si alguien ha puesto eso en unas especificaciones, es para colgarlo, no está cualificado para el puesto.

K

#66 Nadie ha tenido por qué poner eso en las especificaciones. Puede haber sido un problema de coordinación entre distintas personas, de dejarse abierta una interfaz de pruebas que no quedó claro quién tenía que revisar que se cerrase antes de salir a producción. Las formas de cagarla en el desarrollo de aplicaciones es infinita, por eso es imprescindible que existan procedimientos de verificación y validación, que evidentemente en este caso o no han existido o han sido muy deficientes.

h

#79 que sí, que tiene que haber verificaciones. Pero es una cagada del programador/analista.

Una cosa es que no se comporte correctamente en algún edge case (no me sale la traducción ahora mismo), que es entendible, y otra esto, que es un error básico de seguridad. No puedes tener a un tío que no sabe lo básico programando una api pública, te pueden hacer un buen destrozo.

BifidoHiperactivo

#6 el problema en es que en la mayoría de empresas no hay una cultura de desarrollo adecuada, todo se hace a la carrera y luego ya se pondrán los parches que hay que poner. Al menos segun mi experiencia. Sitios en los
que haya currado en los que los tests sean algo rutinario... Creo que uno solamente...

Dene

#22 o el politico que le ha dado el presupuesto qeu solo llega para hacer una puta mierda... o que la consultora se lleva el 90% y los trabajadores solo el 10%.. y si uno paga cacahuetes, tendrá monos trabajando

J

#22 #28 Son muchas cosas, y sobre muchas de ellas el último currito que programa no tiene mayor poder de decisión. Al menos siempre he tenido presente que no puedes hablar de responsabilidad si no tienes margen de actuación, deben ser como mínimo proporcionales.

F

#4 Si hay este fallo en produccion es porque hay otros tantos fallos más. Si hay un error en el codigo, pero tienes revisiones por tus compañeros y jefes y luego tienes un equipo de QA y además un equipo de seguridad, al final tienen que fallar un monton de cosas para que se de el error.

En un avión exigirias lo mismo, no ? por qué aqui "si hubiera hecho bien su trabajo entonces no habria ocurrido" ?

empanadilla.cosmica

#4 Por hacer el símil con la ingeniería mecánica. Si una pieza se rompe prematuramente en una máquina y lo hace sistemáticamente pero la pieza está fabricada siguiendo estrictamente las directrices de diseño no es un error de fabricación. Es un error de diseño. Y posiblemente sea un error de verificación, pero no es un error fabricación. La fábrica ha producido lo que se le ha pedido tal y como se le ha pedido

h

#33 el símil no es bueno porque en el mundo del software, el programador toma el rol tanto de diseñador como de "fabricante". O es el compilador el que hace la fabricación?

Bueno, da igual, el caso es que no se puede hacer una separación de tareas tan clara.

s

#4 por eso Windows (por ejemplo, cualquier gran compañía vale igual) está sacando actualizaciones cada poco tiempo.

"Si hubieran hecho bien su trabajo no haría falta".

o

#4 eso es como decir si la gente conduce bien, no habria accidentes

todo el mundo comete errores involuntariamente, es imposible hacer todo al 100%

La cuestion es q tiene q haber una cadena de calidad para comprobar q no hay errores, incluidos errores de programacion. Solo así se reduce las posibilidades de errores bastante

daTO

#4 no puedes asumir que los programadores han hecho bien su trabajo, aunque fuesen muy buenos. SIEMPRE hay errores. Se trata de encontrarlos y solventarlos antes de pasar a producción,

tiopio

#3 Los errores no son de quien los corrige, sino de quien los comete.

J

#10 Me encanta la imagen. lol Totalmente relevante para muchos temas.

L

#8 console.log de un objeto en javascript se hace muchas veces desarrollando, sobretodo cuando no hay procedimientos más estrictos. Estoy de acuerdo con@Kotsumi, los programadores no pueden controlar absolutamente todo individualmente, por eso existen procedimientos y metodologías de la ingeniería del software, incluidos controles y verificaciones antes de pasos a Producción, para evitar este tipo de errores humanos. Si mañana se rompe una tuberíaen tu casa nueva no creo que la culpa última sea del obrero currito de 20 años por 1000€ que se equivocó en no sé qué, sino en la gestión de la obra y la falta de controles de calidad, que deben definir los arquitectos, aparejadores…

Imag0

#8 En este caso son churras con merinas... el chaval que ha picado el código que le han mandado a 800€/mes no tiene culpa de que el diseño de la aplicación se pase por el arco del triunfo la LOPD.
Aquí lo que hay es un jefecillo intermedio que no ha hecho su trabajo y lo ha cobrado íntegro.

D

#8 Los errores son del responsable. Que para eso lo cobra

J

#3 Me parece que a lo que se refiere #3 a que al final se trata de cargarle el muerto al último currito que realmente no tiene mayor responsabilidad sobre lo que hace porque no tiene poder de decisión. Podemos hablar de si su error fue mayor o menor, pero es que no está solo, hay toda una serie de protocolos que se hacen para validar el software.

Si me perdonas la exageración, es como comprar un piso y que haya una puerta que da al vacío, y que el primero en enterarse sea el comprador que va a vivir allí. Es un sector en el que los errores de programación son parte del trabajo.

K

#56 Efectivamente. He trabajado en la industria aeroespacial y en programación de aplicaciones de gestión. En ambos sitios hay programadores buenos y malos, y en ambos sitios las cagadas de programación están a la orden del día. La gran diferencia entre ambos sitios es que en el primero se trabaja bajo unos estándares de calidad de tres pares de narices donde se revisa hasta la última coma del último documento (porque está todo documentado) y se realizan pruebas de funcionamiento de absolutamente todo, mientras que en el segundo la calidad consiste muchas veces en "prueba un poco a ver si tira y venga p'alante". A veces algo más, pero no mucho más.

fanchulitopico

No es error de programación.
Obviamente están escupiendo toda la entidad serializada en un json en vez de lo estricto necesario a través de un modelo o tipo anónimo.

c

#32 La aplicación que llevaba todos los juicios de España tenía un problema de seguridad de ese nivel, permitiendo acceder a toda la documentación de los juicios desde una sesión de cualquier usuario, creo que simplemente modificando las URL.

Hubo tiempo de sobra para hacer esa aplicación. Y dinero de sobra. Lo que no hubo son ganas de vigilar que se hacía bien.

Se dio carpetazo para evitar la anulación de todos los juicios celebrados en España mientras estuvo el bug presente. El estado de derecho no puede asumir esos riesgos.

teseo

#39 ese bug de la app de la justicia se hizo muy viral. ¿En qué quedó la cosa?

#40 Si no recuerdo mal en una partida presupuestaria extraordinaria para corregir eso.

c

#40 Se arregló.
Se tapó, ya que asumir las consecuencias (había documentos, declaraciones, datos personales, etc, que no podían estar a disposición de la otra parte en algunos momentos del juicio y que los dejaban en indefensión) implicaba, como he dicho, anular miles de juicios en España: liberar maltratadores, pederastas, asesinos, ....

Como he dicho, un Estado de Derecho moderno no puede permitirse eso.

teseo

#43 gracias por el update

teseo

No sé si este es el caso pero ¿Por qué la administración pública no puede tener un equipo de programadores fijos en vez subcontratar todo a Indra y demás?

Programadores bien pagados, puestos al día en tecnología de estos que curran desde casa para empresas americanas y hacen verdaderas obras de arte tecnológicas de las que toda la sociedad se pudiera beneficiar.

#23 Por lo mismo que algunas grandes empresas tampoco los tienen. Tienen a lo mínimo indispensable para el día a día y se aprueban partidas para modernización cada X años. Y cuando van van con todo. Hay que aprobar partidas presupuestarias, etc..

La cita previa de vacunación es un poco diferente. Es una necesidad sobrevenida que ni estaba prevista ni forma parte de la modernización y es muy urgente. No se ha validado debidamente, seguramente por ahorrar tiempo y dinero.

teseo

#32 ¿Crees que lo que hacen las grandes empresas es una buena forma de generar tecnología?

En mi opinión no lo es y un ejemplo se puede ver en UK con las fintech companies innovando a una velocidad de empresa de software moderna vs la banca tradicional yendo a rebufo con sus servicios web y apps.

#36 No. Pero eso no tiene que ver con que las compañías fintech sean más ágiles e innovadoras cuando a sus servicios en general se apoyan en la banca y sin la banca no suelen servir de nada.

Lo que le falta a muchas administraciones son directores de proyectos TI eficaces. Todo lo buenos que son en ADIF planificando y gestionando la construcción de infraestructuras ferroviarias con costes contenidos, sin grandes desviaciones presupuestarias es la metodología que falta en TI en la administración. Eso de darle el proyecto a una empresa y que al propia empresa capture los requisitos y diseñe todo ha demostrado ser una mala idea en todos los ámbitos.

Debería ser la propia administración quien diseñe toda la arquitectura y subcontrate los trozos, como hace ADIF con las obras, pero la planificación de obra y la verificación la hacen los ingenieros de caminos de ADIF:

marcamo

#23 Porque no hay UNA administración sino ciento y la madre (central, autonómicas, provinciales, comarcarles, etc.).
Porque un equipo no es suficiente para acometer todas las necesidades de "la administración"
Porque un equipo no va a estar capacitado, con el trascurso del tiempo, para las necesidades de "la administración"

teseo

#34 he debido explicarme mejor.

No me refería a un único equipo para todo. Me refería a, en general, ¿Por qué las administraciones que usan tecnología no tienen gente técnica para desarrollarla y mantenerla en plantilla en vez de externalizarlo?

marcamo

#38 Yo no soy informático, pero diría que mis dos últimos puntos te contestan.

Si tienes en plantilla (funcionarios, para el resto de su vida laboral) un grupo de personas (que hoy pueden ser buenísimos) estarán capacitados para un campo: bases de datos O aplicaciones móviles O páginas web (nadie sabe de todo) pero con el paso de los años la tecnología avanzará, las necesidades serán distintas, etc. y esas personas seguirán en plantilla y no te servirán de gran cosa.

Lo realmente difícil para la Administración (en mi opinión) es saber QUÉ es lo que necesita. Saber si ha de hacer un portal web, o cómo gestionar sus datos, o la digitalización de sus trabajos o cómo gestionar las relaciones con los ciudadanos.
Lo mismo que le ocurre a una empresa cualquiera, tecnológica o no.

Nadie imaginaba, hace 20 años, a los ciudadanos con un smartphone que les modificaría radicalmente las relaciones administración-ciudadano.
Y, desgraciadamente, si algo no tienen las Administraciones Públicas es "cintura" para adaptarse al cambio de manera rápida.

teseo

#78 lamentablemente difiero en el corazón de tu teoría porque yo sí soy programador y la idea que tienes de que un programador por el hecho de hacerse mayor no sea capaz de estar actualizado y no valga para nada es desalentadora.

Cierto es que la tecnología avanza a pasos agigantados pero también hay otros campos (como la medicina por ejemplo) que avanzan igual de rápido y no existe la percepción de que envejecer baje puntos.

En informática, como todo en esta vida, vale lo bueno que seas en tu trabajo, el tiempo que dediques a estar al día en tecnología y tu disposición a aprender a diario, sí, a diario.

No sé si lo sabías pero en el mundo IT internacional los “seniors”, “principals” y “leads” son los puestos más cotizados porque a lo largo de los años, si han tenido una carrera brillante, han ido acumulando conocimientos que permiten no solo proporcionar soluciones más rápidas a tus problemas (es probable que hayan sufrido el mismo problema en el pasado) o directamente diseñen y hagann arquitecturas pensando en que sean robustas (da igual si es una web, un servicio web, una infrastructura o una app móvi).

Con respecto a no saber de todo te diría que la figura del full stack (alguien capaz de hacer una web, una app, un backend y una arquitectura de sistemas) es algo que existe y que está muy extendido. Lenguajes como Javascript y servicios cloud como aws han facilitado mucho la aparición de gente así.

c

#23 Cuando lo miré, un programador (titulado de FP) de Indra en un proyecto se facturaba a la Comunidad de Madrid a 25€ la hora, IVA aparte. Facturando unas 150-160 horas al mes por programador con ese dinero hay para repartir entre mucha gente.

Ivan_Alvarez

#35 25€ la hora es regalado. Yo he visto Jefes de Proyectos por los que facturaban a mas de 100 y que realmente no hacían nada en el proyecto mas que pasar horas

c

#64 Jaja, si. Te estoy hablando de lo mas bajo, de ahí para arriba alucinas. Y si metes un SAPero entonces preparate.

J

#35 #64 En todo caso eso sería lo que se cobra por él, no necesariamente lo que se le paga, o mejor dicho lo que le cuesta a la subcontrata.

Ivan_Alvarez

#87 si si. Es lo que se cobraba por el, no lo que le pagaban claro

c

#93 A ellos les pagaban mil euros escasos en 2008, según me contaban en la pausa para el cigarrillo.

D

#23 porque es más fácil ver un canguro en la administración pública que un funcionario poniéndose al dia

daTO

#23 siempre lo he pensado. Si van a usarlos siempre, por qué subcontratar??? No es un uso puntual, es habitual. Y puedes buscar gente buena,

danihr
danihr

Lo sé #53 He solicitado el cambio a un admin en #16

vicus.

Los datos personales en el Madrid de la libertad, no están sujetos a la ley de protección datos comunista y opresora, los datos personales deben ser libres y transparentes para que todo el mundo tenga la libertad de conocerlos. Viva la libertad!.

s

Y se supone que estas páginas las realizan titulados informáticos?

D

#1 Si, muchos de ellos con el título de "cuñado", "sobrino"...

D

#2 Y no les va a pasar nada.

angelitoMagno

#26 No, eso no es así. A los políticos les gusta tener las cosas más "a la última" en las aplicaciones, por lo que si usar certificado digital es lo moderno, pues certificado digital.

Por no mencionar, ¿de verdad piensas que el político que encargó la aplicación para pedir citas covid se mete en temas tan "de bajo nivel" como el formulario para autenticarse?

Dene

#65 que no es asi?? es mi día a día... los politicos, los hay majos, los hay bordes; los hay que te gusta su linea ideologica y los que no; pero para algunas cosas, son todos iguales..

angelitoMagno

#72 Mi experiencia es más limitada, hace tiempo que no estoy en proyectos para al administración, pero mi experiencia siempre fue en ver al político en la reunión inicial y en la presentación final y para todo lo demás, funcionarios como intermediarios.

ElTioPaco

#65 tio, no has pasado por contrata pública nunca, no? La única tecnología que meten nueva es la que les obligan (como el certificado digital) el resto, "si funciona no toques" o peor "lo que queráis"

Yo en 2013 para AAPP estaba programando con java 1.4 y desplegando cosas en un OAS. Un puto OAS.

horrabin

#26 Añadele a eso que seguramente lo pidieron "para ayer" y que de la jerarquia de subcontratas, del dineral que se quedan los intermediarios, al final solo queda dinero para contratar juniors o becarios.

F

#1 La subcontrata de la subcontrata de la subcontrata de la subcontrata que solo contrata recién titulados sin experiencia

Ryouga_Ibiki

#1 Es que no veo donde la esta la noticia.Lo raro es que una pagina del estado funcionara correctamente , mas alla de un odernador con windowsXP y Iexplorer6 claro.

Ka1900

#30 Venga, pon aquí púbicamente todos esos datos tuyos. Que no pasa nada

Ryouga_Ibiki

#60 No digo que no pase, pero vamos hasta hace poco ponias entre comillas un nombre y apellidos de una persona y te aparecian desde sus notas escolares hasta juicios y multas.

Ka1900

#70 y el teléfono particular? y el dni? con esas dos cosas considero que ya se puede hacer pupa por las redes.

GanaderiaCuantica

#70 #76 sí, como comentáis yo antes encontraba DNI, teléfonos, etc. de mucha gente precisamente buscando notas de la universidad, oposiciones… Hace mucho que no pruebo, pero a saber.

o

#42 O contratan a otra por la mitad y esa otra pone a un chaval a hacer lo que buenamente puede sin tener apoyo ni experiencia, menos mal que existe stackoverflow sino la mitad de los proyectos ni se acababan, anda que en 20 años no he pillado yo proyectos sin saber siquiera de que cojones van porque se ha terminado el anterior y en algun lado te tienen que meter, luego te piras porque estas hasta la poya y te enteras que han metido al primero que pasaba por la calle porque ha aceptado menos pasta.

Herrerii

#57 Una cosa es cierta, después de unos 7 años en consultaría te vas a una empresa normal en cliente y eres un maquina lol lol lol lol

o

#59 en españa pocas empresas contratan directamente

meneanteenlasombra

#42 Pero EL problema de esto no es que se haga mal el trabajo (que es un problema). ¡El problema es que los responsables (la administración) lo den por valido!

Herrerii

#75 A los responsables se la suda que salga bien o mal, porque ellos tienen su sobre Para ellos el negocio ha salido bien lol

uno_ke_va

#1 como si el título te diera el más mínimo conocimiento práctico sobre seguridad informática...

La pregunta es ¿la administración no realiza ningún tipo de auditoría sobre los proyectos que contrata? Pero vamos, que ya te voy adelantando la respuesta si quieres...

imagosg

#1 La informática de la CAM es un desastre, siempre ha sido un agujero negro de inversión a subcontratas, y nunca ha llegado a funcionar bien.

ElTioPaco

#1 he trabajado en dos proyectos grandes de AAPP, se entrega lo que se pide, hecho por gente que acaba de terminar la carrera o en proceso, y luego la administración ni lo prueba.

No culpes al picacodigos, es un becario de experiencia reducida que hace solo y exclusivamente lo que le mandan, y nadie le ha mandado probar la seguridad, eso seguro.

Yo fui uno de ellos, y aprendí grandes lecciones de vida en aquella época, sobre todo a desconfiar de los sistemas informáticos de la administración.

squanchy

#73 Es una de las cosas más absurdas de esta web. No creo que sea tan difícil que al ignorador no le salgan los mensajes del ignorado (y todas las ramificaciones), aunque le conteste, y que el resto los veamos. En lugar de eso, el mensaje se queda "volando" en el post.

Ka1900

#94 O que se nos vaya la mano borrando lo que ya hemos escrito. Que a mí me ha pasado. Me puede el ansia viva. Pero lo que dices es para mirarlo. Muchas veces te quedas mirando un comentario y pensando ¿y esto?.Lo tienen que ajustar de alguna manera. Supongo que la lógica es que esa persona ya no pueda interferir en tus hilos de conversación para reventarlos aunque sea desde la sombra gris

morsafecal

Ya os digo yo que ha pasado, han vendido el proyecto a una big4, esta lo ha asignado a cualquiera de sus equipos formados por Juniors de menos de un año de experiencia con project managers sin formación técnica, venidos de escuelas de negocios como ESADE. Dad gracias que no ocurra más, la verdad

Ka1900

Jodo. Independientemente de a quien se culpe en última instancia , que seguro será el último becario de turno, la responsabilidad de la fuga de datos es achacable a la Sanidad Madrileña. Esta gente lo peta en esa comunidad.

e

Esto pasa en la web de una pyme y nos crujen

j

Es porque se subcontrata demasiado poco, hay mucha cultura de la calidad y los procesos de licitación son super abiertos.

F
jmasinmas

Pues si van a publicar una noticia por cada desarrollo web de datos sensibles de cualquier ccaa no les va a quedar espacio para otras noticias

sorrillo

#20 Pues ahora me sale julio de 2006.

¡Vaya locura!

Ka1900

#21 Me encantan lo que dan se sí los mensajes huérfanos cuando te aplican un ignore. Me he reído una jartá. Sois la leche
cc #20

mudit0

Yo creo que ya eran conscientes del error y que esa es la razón de que la app pida en cada acción recibir un SMS para validarse. Es un coñazo que para una sesión normal de 4 o 5 acciones tengas que recibir 5 SMS (y que luego además te diga que no hay datos o que en tu caso no aplica).

D

Estupendo, datos suficientes para liarsela a cualquiera

o

siempre es culpa del programador tanta gente culpa al programador sin saber nada....

trabajo de programador y puedo comentar, q hay una cadena enorme de pasos hasta q el software sale a la calle.

En la mayoria de las ocasiones q algo falla, se le echa la culpa al programador, y en mi experiencia, no es asi.

g

pregunta, ¿esto sale una vez logueado y por tanto estás viendo tus datos o es visible a todo el mundo que le de la gana poner ahi un DNI/Tajreta sanitaria al azar?

Si es lo primero, pues tampoco veo que sea un error tan grave. Esos datos deberían poder verse en otra pestaña...

mudit0

#24 No, le sale (salía) a cualquiera que tenga tu número de la tarjeta sanitaria y la escriba. De ahí lo grave. Incluso no teniéndola, puede programar fácilmente un maquinillo para ir descargando rangos de números de tarjeta hasta tener todas.

Y

Esa es la Gestión del PP.
"Seremos fascistas pero somos buenos gestores" (José Luis Martínez-Almeida, Alcalde de Madrid, portavoz del PP) Abril 2021.

J

A esto yo no llamaría "error" de programación. Es un problema bastante previsible, que supone un mal planteamiento tanto desde el diseño técnico como desde el funcionamiento de la aplicación.

Entiendo que se quiera hacer el trámite lo más sencillo posible, pero entonces lo que haces es poner comprobaciones adicionales. Vale, puedes meter tu identificador al azar y dar con alguien, pues pides algún otro dato sencillo y que fácilmente puedas tener, como su DNI o su fecha de nacimiento.

Por otra parte, siempre debes tener a tu disposición los mínimos datos que necesites para trabajar, y enviarlos al usuario. Si el usuario solo necesita introducir su teléfono y confirmar la cita, pues no necesita sus datos, ni que se envíen.

A lo mejor, lo entendido mal, pero visto así es un despropósito. Pusieron al becario a hacerlo y nadie supervisó nada...

s

Enero 2021, debería haberme fijado antes. Chao 😓

mudit0

#15 A mí me sale junio 2021.

sorrillo

#18 A mí me sale julio de 2007.

¿Hay que cantar Bingo?

mudit0

#19 Es raro. Acabo de entrar de nuevo y sigue saliendo junio.
.

1 2