La falla permitiría la creación de usuarios con datos inventados capaces de realizar trámites básicos.
El ingeniero Danilo Espino advirtió que el portal gub.uy, que centraliza servicios del Estado uruguayo, permite crear usuarios de nivel básico con cédulas inexistentes, siempre que el dígito verificador sea correcto.
Espino explicó que el sistema no contrasta los datos con un registro oficial, sino que valida únicamente la coherencia del dígito final. “El dígito verificador de todas las cédulas se puede calcular”, señaló.
Indicó que el número surge de una operación matemática aplicada a los dígitos previos del documento, un proceso que puede realizarse con facilidad. Espino sostuvo que “es fácil calcularlo”.
Una vez que el resultado coincide con el algoritmo, el sistema considera válida la cédula, incluso si no pertenece a una persona real.
Según el ingeniero, la validación de gub.uy se limita a ese control.
Esto permite que un usuario complete el formulario con datos ficticios y obtenga acceso a una cuenta básica.
“Vos podés poner un nombre cualquiera, un correo electrónico cualquiera y un número de cédula; si el dígito verificador cumple con el algoritmo, el usuario se crea igual”, explicó Espino.
Aclaró que con esa cuenta se pueden realizar acciones dentro del portal.
Entre las funciones disponibles, Espino destacó que el usuario básico permite hacer pedidos de acceso a la información pública.
A su juicio, esa capacidad amplía el alcance del riesgo.
El ingeniero advirtió que la falla podría ser utilizada para generar registros falsos en gran cantidad.
“Se puede inundar la base de datos de usuarios con datos basura”, indicó, lo que podría derivar en una degradación o denegación del servicio.
Espino consideró que esta situación puede responder a una decisión de diseño del sistema, pensada para simplificar el proceso de registro. Sin embargo, aclaró que “me parece importante reportarlo” para evitar consecuencias operativas.
Espino afirmó que reportó el problema a la Agencia de Gobierno Electrónico (AGESIC) y al Centro de Respuesta a Incidentes de Seguridad Informática del Uruguay (CERTuy).
“Se lo estuve reportando, les pedí que me mandaran un reporte cuando lo estuvieran viendo y no he tenido respuesta”, aseguró.