Este último martes ocurrió un suceso esporádico en nuestra red nacional, sí, hablamos de la venta de entradas online para el partido Perú vs. Colombia que se celebra este martes 10 de octubre. Muchos peruanos quedaron con una tristeza profunda tras no conseguir una entrada para dicho evento, pues esta modalidad dejó mucho sin sabor tras luego mostrarse unos supuestos mecanismo de falla de seguridad en la página web donde se realizaba la venta.

Modalidad

Como era de esperarse, ante la emoción de peruanos en alentar a la selección peruana en el estadio nacional para jugarse su último partido en estas eliminatorias rumbo al mundial Rusia 2018, la demanda iba a ser excesiva, y la pregunta de los profesionales en TI era ¿Esta página tiene toda la contingencia necesaria para dicha demanda? ¿Cómo manejarán esta situación ante una posible caída del servicio?, todo era una incógnita, sin embargo, antes de que se abrieran las ventas la página web se preocupó por brindar la asesoría necesaria correspondiente, sin embargo toda esa preparación previa se vino abajo a la hora de abrir las entradas.

Horas de casos

Uno de los requisitos para adquirir tu entrada era tener una membresía válida en la web, es decir, tenías que estar registrado en su web, contar con un usuario y contraseña, y eso te lo indicaban días antes. La hora de abrir la venta de entradas era a las 06:00 am, por lo tanto muchos peruanos querían iniciar sesión minutos antes y luego estar atentos a la habilitación de venta de entradas, es decir, tener su sesión de usuario abierta para luego actualizar con F5 la web de venta de entrada o al menos iniciar una cola virtual, pero ya con la sesión iniciada. Sin embargo, lo que se encontraron fue una sorpresa. Cuando querían iniciar sesión se encontraron con otra cola, para recién crear un usuario, lo cual confundía ya que se pensaba que esa era la cola para la venta de entradas, en fin, teniendo en mente que esa era la cola para las entradas al usuario solamente le quedaba esperar con su número de cola asignada. Pero a las 06:00 am apareció el siguiente mensaje "Error HTTP 503 Service unavailable" que para el lenguaje común es "Sobrecarga temporal", lo malo fue que esto ocasionó que el control de colas se alterara y si estabas en la posición 20000 ahora podrías estar en la 77000, sí, esa era la demanda promedio en ese momento, y solo comentar que la cola llegó hasta más de 400000 posiciones. Y como era de esperarse, se esperaba que los primeros 20000 llegaran a adquirir sus entradas, ya que haciendo un cálculo a groso modo, si se vendieran 2 entradas por persona, tal como lo indicaban los reglamentos de la página web, serían 40000 personas que podrían ingresar al estadio, cantidad promedio de capacidad de hinchas permitidos en el estadio, considerando que habrán entradas de cortesías, etc.

Análisis técnico

La web de venta de entradas online está en asp, lo cual no es una tecnología en pañales, además esta plataforma web es el core principal del negocio, por lo tanto no es una web nueva que soporte esta parte del proceso de negocio o que se liberó para este día, el problema se centra en tres puntos muy debiles de la web: La arquitectura de la infraestructura, la seguridad de acceso y la más importante: la conciencia humana.
Este caos pudo deberse a una falta de presupuesto para repotenciar los servidores de la web o adquirir un balanceador de carga (o mejorarlo en caso ya tengan uno). Ahora, tampoco han salido a hablar los de la web si es que sí hicieron eso, y al parecer no, porque su excusa puntual ha sido que desde un principio se mencionó que "no garantiza su perfecto funcionamiento ante una sobrecarga en el sistema". Esto de por sí es un error gravísimo, porque ante personas expertas en TI, esto sí puede ser garantizado ante una correcta implementación con los recursos necesarios, costosos pero sí se puede garantizar, si no, no existiría amazon, facebook ads, ebay, etc.

Posible fraude

Se podría entender que existan problemas en adquirir entradas para los que se encontraban en la posición 40000 para arriba, sin embargo, personas que estaban en posiciones como la 400 a 3000 presentaron su denuncia ante la web indicando que a partir de las 07:30 am su posición ya no avanzaba a un buen ritmo por lo tanto ocasionó miedo ante una posible falta de entradas, lo cual sucedió. ¿Cómo se explica esto?, al parecer la respuesta es la siguiente: Falla de seguridad, digo al parecer porque aún no se ha corroborado ante las autoridades, pues existió un enlace que te evitaba la cola, accediendo directamente a la página de selección de asiento y realizar la compra, este enlace se trasmitía de manera privada durante la vigencia de la venta de entradas 06:00 am a 09:00 am. Existen videos en las redes sociales de este enlace, pero no nos termina de convencer ya que no culmina la compra, y asumimos que es por que debe existir un enlace con tu posición de cola en la cookie de inicio de sesión, aunque muchos expertos en TI realizaron esa modificación hubieron varios que les procedieron el descuento en su cuenta bancaria pero no adquirieron entrada y tendrán que esperar la devolución de su dinero.

Consejo AudIT

Las autoridades que asignaron a esta web como intermediarios en la venta de entradas online debieron o deberán asegurarse en futuras asignaciones que esta web contengan toda la seguridad necesaria y contingencia relacionada, se podría consultar a los dueños de la web, cuándo fue su última evaluación ISO 27001, y si es que no la tiene, deberá analizarse si contar con su intervención o no. Además esto les deberá servir en que no hubiera habido problemas que ese mismo mecanismo de evaluación (solicitar DNI para adquirir sólo dos entradas) pudo haberse ejecutado manualmente en los puestos de atención de la web, y estamos seguro que esto hubiera generado mucho más confianza que lo sucedido el último martes. Por que la gente sí hubiera palpado su posición en la cola, no importa si es que esperaran días u horas, pero con un buen control esto hubiera sido el mejor camino.
En AudIT somos especialistas en Implementación ISO 27001 por lo tanto si tienes un sistema y deseas asegurar la trasmisión de su información y cuidar el valor de tu negocio no dudes en acudir a nuestros consultores.