Un joven pudo cambiar las notas de cualquier alumno en el portal de exámenes de India

Durante buena parte de la temporada de exámenes, la web donde se corrigen las pruebas más importantes de India parece haber confiado en casi cualquiera que supiera pedírselo de la forma adecuada. Un investigador de seguridad autodidacta afirma que pudo entrar en el portal de corrección como cualquier examinador, abrir los paneles donde se revisan los exámenes, restablecer las contraseñas de otros correctores y cambiar las notas asociadas a las hojas de los alumnos. El portal pertenece al Central Board of Secondary Education, el organismo cuyos resultados de Clase 12 deciden a qué universidades pueden acceder millones de adolescentes indios.

Esas notas no son un asunto privado entre un estudiante y su profesor. En India son la moneda de admisión, y la diferencia de un solo punto puede mover a un aspirante de una carrera a otra o dejarlo fuera de la universidad. Un sistema que permite a un desconocido editarlas en silencio no es un fallo cosmético. Toca la equidad del propio examen, la única parte del proceso en la que se les dice a los estudiantes que pueden confiar.

El más llamativo de los problemas que describe es de una sencillez casi vergonzosa. Había una contraseña maestra escrita directamente en el código que el navegador de cada visitante descarga para mostrar la página. Cualquiera que abriera ese código y lo leyera podía usar esa contraseña para saltarse los códigos de un solo uso pensados para proteger cada cuenta. En términos corrientes, equivale a dejar la llave maestra impresa en el felpudo y confiar en que nadie mire al suelo.

Las demás debilidades agravan la primera. La web, sostiene, pedía al propio navegador del visitante que confirmara quién era en lugar de comprobarlo en sus servidores. A páginas reservadas a correctores con sesión iniciada se llegaba escribiendo directamente su dirección. Una petición para cambiar la contraseña no exigía conocer la anterior. En conjunto, significaban que la web aceptaba la palabra de cada usuario sobre su identidad, el error cardinal en seguridad web, porque todo lo que se ejecuta dentro de un navegador puede reescribirlo la persona que lo usa.

La escala es lo que vuelve difícil restar importancia a los hallazgos. El organismo agrupa a más de 28.000 escuelas en India y otras en el extranjero, y los exámenes de Clase 12 que administra los presentan millones de estudiantes cada año. El software de corrección lo desarrolló una empresa externa cuya plataforma usan también otras juntas educativas, de modo que las preguntas que plantea el caso superan a una sola organización.

Además, todo estalló en mitad de un periodo de resultados ya tenso. Los estudiantes llevaban semanas quejándose en público de notas que parecían erróneas, de exámenes escaneados que llegaban borrosos y de un portal que no dejaba de caerse por la carga. En ese contexto, la afirmación de que el mismo sistema podía abrirse con una contraseña sacada de su propio código convirtió una queja de mantenimiento en una pregunta sobre la integridad.

El organismo rechaza el relato por completo. En declaraciones públicas, el Central Board of Secondary Education sostuvo que la dirección web que circulaba por internet no era el portal de evaluación auténtico y que el sistema usado para corregir los exámenes no había sido comprometido ni dejado vulnerable. El investigador respondió con copias archivadas del código de la web, una grabación de pantalla de la contraseña maestra funcionando y pruebas de que esa misma contraseña abría varias direcciones relacionadas de la misma plataforma, un material difícil de encajar con la idea de un inofensivo entorno de pruebas. Nada de ello demuestra que se alterara realmente un resultado, y no se ha documentado ninguna nota manipulada. La discusión es si pudo haberlo sido, y durante cuánto tiempo quedó la puerta abierta.

Desde fuera no todas las afirmaciones pueden verificarse de forma independiente, y la lectura más prudente trata el relato del investigador como una denuncia seria y bien documentada antes que como un hecho cerrado. Lo que no está en duda es que los hallazgos técnicos se presentaron ante el equipo nacional de ciberemergencias de India y que una organización de derechos digitales ha escrito desde entonces al Ministerio de Educación y a esa misma agencia para pedir una auditoría independiente del portal y una explicación clara de quién tenía acceso.

El sitio es indio, pero la lección no lo es. Las juntas de exámenes, las autoridades que otorgan licencias y los servicios públicos de casi todos los mercados funcionan ya sobre el mismo tipo de aplicaciones web de página única, y el mismo atajo que causó el problema aquí, dejar que el código del navegador decida quién puede entrar, es uno al que ceden desarrolladores de todo el mundo. El detalle incómodo es que los fallos descritos no son exóticos. Son de los que un equipo competente cerraría en una tarde, que es justo lo que hace tan difícil de explicar su presencia en un sistema nacional de exámenes.

El investigador afirma que notificó los problemas por primera vez al equipo de ciberemergencias de India a finales de febrero y que no recibió respuesta sustancial durante tres meses que incluyeron la publicación de los resultados de Clase 12 de este año. Publicó el relato completo en su blog el 22 de mayo, tras concluir que se habían ignorado sus avisos, y señaló días después otra vulnerabilidad en la base de datos antes de que el portal se retirara. Si el Ministerio de Educación ordenará la revisión independiente que ahora se reclama, y si los demás clientes de la empresa examinarán sus propios sistemas, es la parte de la historia que aún está sin escribir.