La trama de esta operación, es mucho más compleja, pero según se pudo saber, la manipulación de datos, con lo que se pretendía imputar tres pagos, se realizó con el usuario y la contraseña de una empleada del departamento Tesorería.
Pocos días antes de que se cometiera la modificación de esas cuentas corrientes, el renunciante Daniel Rollero, que estaba a cargo de la Dirección de Sistemas Informáticos, le había elevado al director general de ese organismo, Aurelio Miraglio, un informe en el que se detallaba la necesidad de encarar no sólo una investigación para determinar quiénes eran los responsables de utilizar ese programa para desencriptar, sino también para reforzar el sistema de seguridad. Dicha tarea debía consistir en modificar los algoritmos de encriptación “para reemplazar a los que ya no son secretos”.
Según se pudo saber, lo que se había descubierto era que en una de las computadoras de la repartición había carpetas compartidas y sin restricciones que contenían cuatro programas de SQL que ejecutándolos permitirían descubrir la contraseña de cualquier usuario del Sistema Administrativo Tributario (SAT) o de la base de datos Oracle.
Contraseñas
Lo curioso es que ese programa, o como se los denomina en el ambiente informático scripts , había sido entregado a la DGR en 1999 en un sobre cerrado y por seguridad del sistema, debía ser guardado bajo siete llaves en la bóveda del organismo.
Si bien todos los empleados tienen acceso al sistema, no todos pueden realizar modificaciones en las cuentas corrientes de los contribuyentes. El personal de la DGR para poder ingresar a las computadoras del organismo debe ingresar su nombre de usuario y contraseña, pero no todos están habilitados para modificar los contenidos de los archivos. Es decir, algunos sólo pueden ingresar al SAT para consultas, pero tienen bloqueado el acceso para cambiar las cuentas.
Como medida de seguridad, los usuarios del SAT están obligados a cambiar sus claves. Si bien ese ritual se cumple, la contraseña dejaba de ser secreta con la sola ejecución del programa de desencriptar.
Otros datos
Fue así que aunque no cayó en gracia para algunos empleados de la repartición que una consultora externa realice la auditoría, el informe fue más que revelador. Otro de los datos que surgen, es que el 21 de marzo la auditoría elevó su informe, el 22 de marzo la Dirección de Informática dio a conocer a Miraglio el resultado del estudio y el 23 de marzo, un día antes del feriado por Semana Santa, se produjo la irregularidad o intento de fraude.
La firma contratada, que tuvo a su cargo el análisis de procesos SQL, advirtió que la utilización de esos programas pone en altísimo riesgo la seguridad del sistema.
Fue así, que también se sugirió la inmediata sustitución del proceso de encriptación, debido a que conociendo el algoritmo de encriptación, es sencilla la programación del algoritmo de desencriptación.
Como conclusión, la consultora que tiene su sede en la ciudad de Córdoba, indicó que “la utilización de dichos archivos por parte de personas no autorizadas y/o mal intencionadas, atenta contra la integridad de los datos de un organismo público y gubernamental como lo es la DGR. Cualquier modificación que se realice sin la autorización escrita de los responsables del organismo podría ser interpretada como un delito”.
