| El lado oscuro de Internet también está en Facebook:click acá!
Veamos algunos ejemplos de ataques sencillos (esta es información pública a la que es posible acceder siguiendo los links, que se encuentran a disposición de cualquier persona en Internet):
Las imágenes que usted ve en este post son una muestra muy simple de ataques en línea; corresponden a una modalidad bastante sencilla, conocida como web defacement, en la que el atacante modifica el contenido del sitio web de su víctima. Así, en algún momento, para que usted haga memoria, resultó el Pibe Valderrama siendo Director Técnico de la Selección.
En varias de las entidades atacadas de las que copio estas imágenes acá, los administradores de las redes todavía no se han dado cuenta de que sus sitios web fueron modificados… Que esta clase de ataques ocurra, si bien son, repito, sencillos, indica que estas entidades no cuentan con una adecuada infraestructura de seguridad (¿debería darles vergüenza? Responda usted esta pregunta!!).
Pero, el caso que desde el 11 de enero se presenta en Chile, que ha sido muy debatido en muchos foros en la Red, es realmente patético. Gracias a una previa publicación de Zorro (acostúmbrese a los apodos cuando hable o lea sobre seguridad de la información), un joven llamado Sebastián Bassi publicó en su blog (hosteado por la Universidad de Quilmes – y perdón por el neo anglicismo!!) «Como (sic) ver los datos personales de los empleados del Ministerio de Educación, en 3 pasos fáciles» (no incluyo acá los links de forma intencional; si usted está interesado en encontrarlos, ya tiene suficiente información para hacerlo).
Sin ningún recato, Bassi dio a conocer el paso a paso del procedimiento que cualquier persona debería seguir para poder acceder a las redes del Ministerio de Educación argentino; y, no contento con hacer esto, publicó incluso nombres de usuarios y claves. Como era de esperar, ha sido calificado de irresponsable, wannabe y otras cosas peores.
Sin embargo, a pesar de haber publicado semejante falla de seguridad, pasaron varios días antes de que hubiera una reacción que permitiera corregirla. Esto quiere decir, nada más y nada menos, que cualquier persona en el mundo pudo entrar a esos servidores del gobierno argentino y husmear, con nombres de usuarios legítimos y claves correctas, mucha información.
¿Cómo estamos en Colombia? No mucho mejor… haciendo a través de Google ® una búsqueda similar a la que Zorro hizo para descubrir la vulnerabilidad, encuentro, de forma inmediata y dando solamente una rápida mirada, que las redes de al menos una superintendencia, varias alcaldías, un departamento administrativo, un periódico muy conocido, una empresa productora de lacteos y una subsidiaria de un fabricante de automóviles europeos pueden estar en la misma situación en la que se encontraban las del Ministerio de Educación argentino.
¿Y quien hace algo al respecto? Esta es la parte triste de la historia… NADIE!!!!
Debo pedirle que haga un alto y recuerde que estamos hablando de una sola vulnerabilidad; repito: UNA SOLA (que permitió el acceso inicial, así después hayan seguramente debido ser explotadas algunas otras). Y cada día surgen más y más, que son publicadas con juicioso detalle en muchos sitios que, como era de esperar, son consultados por miles de personas. La consecuencia de esta situación es evidente: en la generalidad de las empresas colombianas y de las entidades del sector público de nuestro país, no hay la capacidad de responder frente a un ataque en línea.
Ni capacidad técnica que permita descubrir el ataque en tiempo real (o así sea tiempo después, pero que lo descubran!!!), ni la capacidad legal de responder con legitimidad mediante el uso de la fuerza del Estado.
Lo único que puedo hacer desde esta esquina es, como decían Rafael y el Presidente Uribe, invitarlo a unirse al coro del «millón de amigos» que están permanentemente colaborando con las autoridades, denunciando cosas que no deberían pasar, alertando a las entidades/empresas que tienen configuraciones erróneas o que simplemente no las tienen… Si no sabe a quién denunciar un hecho, o le da miedo hacerlo, busque a las unidades de delitos informáticos de la Dijín o del DAS; si ellos no son competentes, seguramente le indicarán a quién acudir.
El silencio es el mejor amigo de los delincuentes; no podemos quedarnos callados. Nuestra activa participación hará que, día tras día, este país sea más seguro, más confiable, más tranquilo. Hará que el promedio de seguridad en línea suba, así sea inicialmente en el medio empresarial y del sector público; despertará inquietudes, generará preguntas y noticias.
Hagamos ruido!!
Nota: las imágenes incluidas originalmente en este post se perdieron en la migración de la vieja plataforma a la nueva; no fue posible recuperarlas.
Carlos Álvarez Cabrera
blogladooscuro @ gmail.com
——–
Comentarios