3.000 cuentas bancarias al descubierto: si un 'hacker' te avisa de un fallo, hazle caso
Un fallo en la web de Juventudes Socialistas de España deja al descubierto datos personales de 3.000 afiliados. Un 'hacker' les avisó hace cuatro años pero no hicieron nada. Y no es el único caso
:format(jpg)/f.elconfidencial.com%2Foriginal%2F6fb%2F7f3%2Fced%2F6fb7f3ced88b039a2d2dfff3575e3d72.jpg)
"Les llamé cuando descubrí el fallo hace cuatro años. Me dijeron que estaban muy ocupados con un Comité Federal y no tenían tiempo para estas cosas. Hoy la web sigue mostrando los datos personales de más de 3.100 afiliados: móviles, cuentas bancarias al completo... Han pasado de todo". Así explica un 'hacker' a Teknautas cómo descubrió un agujero en la web de Juventudes Socialistas de España (JSE): bastan unos cuantos clics para acceder a los datos privados de miles de afiliados de la organización. Pese a recibir el aviso, no tomaron medidas. Y es solo un ejemplo de algo que ocurre casi a diario: especialistas de seguridad que descubren vulnerabilidades en empresas y organismos, las reportan y nadie les hace caso o reaccionan demasiado tarde.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F594%2Fa14%2F729%2F594a14729304e75eee2bfb99fbc31a39.jpg)
Este experto en seguridad, que prefiere mantener el anonimato para "evitar complicaciones", señala que el fallo en la web de JSE es, desgraciadamente, bastante común en páginas de pequeñas empresas y organismos. Se trata de una inyección SQL consistente en infiltrar código 'intruso' en un aplicativo web sobre una base de datos. Es una de las vulnerabilidades más antiguas conocidas (reportada por primera vez hace casi 20 años). Aún así, afecta a miles de webs creadas con pocos recursos y que no han pasado una mínima auditoría antes de quedar accesibles 'online'.
Se trata de la información personal de más de 3.100 afiliados, desde el email al DNI pasando por móviles y cuentas bancarias (IBAN incluido)
El caso de la web de Juventudes Socialistas es más delicado de lo normal por dos motivos: por haber sido avisados hace cuatro años y no reaccionar y, sobre todo, por la naturaleza de los datos que han quedado al descubierto. Se trata de fichas con información personal de más de 3.100 afiliados, desde el email al DNI pasando por móviles y números de cuentas corrientes al completo (IBAN incluido). Con esto se puede hacer de todo. "Es posible suplantar identidades en internet, firmar contratos a nombre de la otra persona o vender esos datos en la 'deep web' para que ciberdelincuentes realicen ataques más complejos", explica el especialista en seguridad que ha dado con el fallo.
Entrar hasta la cocina de la web de JSE es rematadamente simple para alguien con mínimos conocimientos informáticos: basta con buscar en Google por ciertos parámetros que indiquen que una web puede ser vulnerable a una inyección SQL. Una vez confirmado, solo es necesario inyectar código en la sección de administración de la web para saltarse el proceso de autenticación del usuario. Listo, un posible atacante ya estaría dentro con acceso a la misma información (y con los mismos privilegios) que el administrador. Es decir, podría crear nuevo contenido, alterar el que ya existe y acceder a todos los datos a placer, tal y como se muestra en los pantallazos a continuación.
"Cuando me puse en contacto con JSE hace cuatro años hablé con el responsable de modernización e innovación, Rafael Oñate Molina. Me dijo que estaban preparando un Comité Federal y no tenían tiempo en ese momento. Hace unos días me acordé, volví a probar para ver si lo habían solucionado y nada, sigue igual", dice frustrado. Harto de la pasividad, ha decidido primero reportarlo a la unidad de delitos telemáticos de la Guardia Civil, y luego hablar con un medio para "concienciar sobre la importancia de solucionar este tipo de vulnerabilidades". Y, "para evitar malentendidos", precisa que en ningún momento "robó" la base de datos. "Se podría haber hecho, volcarla al completo. Pero no lo hice, simplemente entré en el aplicativo web que muestra los datos almacenados".
Contactado por este diario, Rafael Oñate asegura no tener conocimiento alguno de la vulnerabilidad ni de haber sido notificado por teléfono de la misma hace cuatro años. "Sinceramente, no recuerdo haber recibido esa llamada, cuatro años es mucho tiempo pero creo que lo recordaría. Y si la hubiera recibido habría avisado sobre ello de inmediato", asegura por correo electrónico. Askalon, la web con sede en Toledo encargada de crear y mantener la página de JSE, no ha respondido a las llamadas de este diario para conocer su versión. Pocas horas antes de publicarse este artículo, la web de Juventudes dejaba de estar disponible.
"Juventudes Socialistas no tiene ni ha tenido la más mínima constancia de este problema. Ante la información que nos ha trasladado El Confidencial, se ha procedido a aplicar el protocolo de seguridad y a bloquear la página para investigar si se ha producido algún error. En todo momento trabajamos para velar por la protección de los datos personales", ha explicado un portavoz de JSE.
"No queremos ridiculizar"
"No falla. Si avisas de una vulnerabilidad y la publicas, la empresa u organismo afectado siempre le va a quitar hierro. Nosotros no hacemos esto para ridiculizar a nadie. Es una cuestión técnica pura y dura, lo hacemos por el reto de descubrir un fallo, reportarlo, solucionarlo y compartir conocimiento con la comunidad. Pero muchas organizaciones no te hacen caso. Otras hasta te denuncian", explica a Teknautas Rubén Santamarta, investigador de seguridad en la firma IOActive. Santamarta se dedicó durante cinco años a cazar fallos de 'software' y 'hardware' en múltiples sistemas. Llegó a detectar entre 60 y 70 vulnerabilidades serias. Y se encontró todo tipo de reacciones al otro lado.
Uno de sus descubrimientos más recientes fue casi por casualidad: un fallo en los sistemas de entretenimiento de los aviones que permitía cambiar la película que ven los pasajeros, mover las butacas de los privilegiados de primera clase, apagar de repente todas las luces o robar los datos de las tarjetas de crédito de los viajeros. Se trataba del sistema Avionics, fabricado por Panasonic y usado por al menos 13 compañías aéreas en todo el mundo, entre ellas Iberia, Aerolíneas Argentinas, Virgin o Air France. Cuando Santamarta descubrió el problema lo comunicó a Panasonic, y no les hizo mucha gracia.
La multinacional japonesa se limitó a cerrar el acceso público al 'software' y también a los investigadores que lo habían denunciado, de forma que no pudieron verificar si habían solucionado el problema. En diciembre de 2016, Santamarta dio a conocer el caso por primera vez, en la convención CyberCamp y más tarde en un artículo donde pueden verse los vídeos que grabó en pleno vuelo. Mientras su revelaciones armaban un gran revuelo en la prensa internacional, Panasonic emitía un comunicado asegurando que se trataba de una "falsa alarma" y de pruebas "teóricas" e "hipotéticas". "Otras veces va mejor", bromea Santamarta. "A la compañía VMware le reporté tantos fallos que me ofrecieron un trabajo".
Cuando contactas con una empresa sobre una vulnerabilidad, creen que les estás coaccionando o actúas de mala fe
"Las empresas tienden a evaluar estas amenazas desde el punto de vista de gestión del riesgo. ¿Cuánto me arriesgo a que ocurra algo grave? ¿Poco? Pues no hago nada. Cuando les contactas con una vulnerabilidad creen que les estás coaccionando o actúas de mala fe. Nada más lejos", explica Ricardo Rodríguez, investigador y profesor de seguridad informática en la Universidad de Zaragoza. Rodríguez ha demostrado en diferentes conferencias cómo las tarjetas 'contacless' de débito y crédito son bastante más inseguras de lo que parecen, o fallos que permitían cargar dinero de la nada (o robarlo) en las tarjetas de transporte de los autobuses públicos de Zaragoza.
"Poco a poco va cambiando la mentalidad. Ayudan mucho las competiciones de 'bug bounties', programas en los que las compañías recompensan a quienes encuentren vulnerabilidades en sus sistemas", explica Rodríguez. También hay que saber muy bien cómo reportar un fallo para evitar problemas y lograr que se solucione lo antes posible, señala Santamarta. Y ofrece tres consejos.
"Lo primero, si estás investigando un sistema que no es tuyo, no hagas pruebas que pongan en riesgo su disponibilidad. Segundo, nunca contactes directamente con la empresa, siempre mejor a través de un tercero, como el departamento de delitos telemáticos de la Guardia Civil o el CERT. Y, por último, deja muy claro que descubrir ese fallo, si bien nadie te ha pedido que la reportes, es fruto de tu trabajo y esfuerzo", explica. "Es algo que, en vez de menospreciar, se tendría que valorar".
"Les llamé cuando descubrí el fallo hace cuatro años. Me dijeron que estaban muy ocupados con un Comité Federal y no tenían tiempo para estas cosas. Hoy la web sigue mostrando los datos personales de más de 3.100 afiliados: móviles, cuentas bancarias al completo... Han pasado de todo". Así explica un 'hacker' a Teknautas cómo descubrió un agujero en la web de Juventudes Socialistas de España (JSE): bastan unos cuantos clics para acceder a los datos privados de miles de afiliados de la organización. Pese a recibir el aviso, no tomaron medidas. Y es solo un ejemplo de algo que ocurre casi a diario: especialistas de seguridad que descubren vulnerabilidades en empresas y organismos, las reportan y nadie les hace caso o reaccionan demasiado tarde.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Ffd0%2Fb78%2Fd56%2Ffd0b78d567b196dea35cf262a10bc4a4.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fd8f%2F8ff%2Ff2b%2Fd8f8fff2bc8fcfe9e1ba24816f6eb6d6.jpg)