Un joven pudo cambiar las calificaciones de cualquier alumno en el portal de exámenes de India

Durante buena parte de la temporada de exámenes, el sitio donde se corrigen las pruebas más importantes de India confió en casi cualquiera que supiera pedírselo de la forma correcta. Un investigador de seguridad autodidacta dice que logró entrar al portal de corrección como cualquier examinador, abrir los tableros donde se revisan los exámenes, restablecer las contraseñas de otros correctores y cambiar las calificaciones de las hojas de los alumnos. El portal pertenece al Central Board of Secondary Education, el organismo cuyos resultados de Clase 12 deciden a qué universidades pueden entrar millones de adolescentes indios.

Esas calificaciones no son un asunto privado entre un estudiante y su profesor. En India son la moneda de admisión, y la diferencia de un solo punto puede mover a un aspirante de una carrera a otra o dejarlo fuera de la universidad. Un sistema que permite que un desconocido las edite en silencio no es una falla cosmética. Toca la equidad del propio examen, la única parte del proceso en la que se les dice a los estudiantes que pueden confiar.

El más impactante de los problemas que describe es de una sencillez casi vergonzosa. Una contraseña maestra estaba escrita directamente en el código que la computadora de cada visitante descarga para mostrar la página. Cualquiera que abriera ese código y lo leyera podía usar esa contraseña para saltarse los códigos de un solo uso pensados para proteger cada cuenta. En palabras simples, fue como dejar la llave maestra impresa en el tapete de entrada y confiar en que nadie mire al piso.

Las demás debilidades agravaron la primera. El sitio, dice, le pedía al propio navegador del visitante que confirmara quién era en vez de comprobarlo en sus servidores. A páginas reservadas para correctores con sesión iniciada se llegaba escribiendo directamente su dirección. Un pedido para cambiar la contraseña no exigía conocer la anterior. Juntas, significaron que el sitio aceptaba la palabra de cada usuario sobre su identidad, el error central en seguridad web, porque todo lo que corre dentro de un navegador lo puede reescribir la persona que lo usa.

La escala es lo que vuelve difícil restarles peso a los hallazgos. El organismo agrupa a más de 28.000 escuelas en India y otras en el exterior, y los exámenes de Clase 12 que administra los rinden millones de estudiantes cada año. El software de corrección lo desarrolló una empresa externa cuya plataforma también usan otras juntas educativas, así que las preguntas que abre el caso van más allá de una sola organización.

Además, todo estalló en medio de un periodo de resultados ya tenso. Los estudiantes venían reclamando en público por calificaciones que parecían equivocadas, exámenes escaneados que llegaban borrosos y un portal que se caía por la carga. En ese marco, la afirmación de que el mismo sistema se podía abrir con una contraseña sacada de su propio código convirtió un reclamo de mantenimiento en una pregunta sobre la integridad.

El organismo rechaza el relato por completo. En declaraciones públicas, el Central Board of Secondary Education sostuvo que la dirección web que circulaba en internet no era el portal de evaluación auténtico y que el sistema usado para corregir los exámenes no fue comprometido ni quedó vulnerable. El investigador respondió con copias archivadas del código del sitio, una grabación de pantalla de la contraseña maestra funcionando y pruebas de que esa misma contraseña abría varias direcciones relacionadas de la misma plataforma, un material difícil de encajar con la idea de un inofensivo entorno de pruebas. Nada de eso demuestra que se haya alterado un resultado, y no se documentó ninguna calificación manipulada. La discusión es si se pudo hacer, y por cuánto tiempo quedó la puerta abierta.

Desde afuera no todas las afirmaciones se pueden verificar de forma independiente, y la lectura más prudente trata el relato del investigador como una denuncia seria y bien documentada antes que como un hecho cerrado. Lo que no está en duda es que los hallazgos técnicos se presentaron ante el equipo nacional de ciberemergencias de India y que una organización de derechos digitales le escribió desde entonces al Ministerio de Educación y a esa misma agencia para pedir una auditoría independiente del portal y una explicación clara de quién tenía acceso.

El sitio es indio, pero la lección no lo es. Las juntas de exámenes, las autoridades que dan licencias y los servicios públicos de casi todos los mercados ya funcionan sobre el mismo tipo de aplicaciones web de una sola página, y el mismo atajo que causó el problema acá, dejar que el código del navegador decida quién puede entrar, es uno al que ceden desarrolladores de todo el mundo. El detalle incómodo es que las fallas descritas no son exóticas. Son de las que un equipo competente cerraría en una tarde, que es justo lo que vuelve tan difícil de explicar su presencia en un sistema nacional de exámenes.

El investigador dice que avisó por primera vez de los problemas al equipo de ciberemergencias de India a fines de febrero y que no recibió respuesta sustancial durante tres meses que incluyeron la publicación de los resultados de Clase 12 de este año. Publicó el relato completo en su blog el 22 de mayo, después de concluir que ignoraron sus advertencias, y marcó días más tarde otra vulnerabilidad en la base de datos antes de que el portal saliera de línea. Si el Ministerio de Educación ordenará la revisión independiente que ahora se reclama, y si los demás clientes de la empresa revisarán sus propios sistemas, es la parte de la historia que todavía está sin escribir.

Etiquetas: tech-en1, ciberseguridad