Ha pasado justo una semana desde que se conociera la brecha de seguridad en la web de Movistar que dejó al descubierto los datos personales de miles de clientes de la compañía. Y el responsable de Big Data de la compañía, Chema Alonso, ha hecho su primera valoración: "Es un fallo clásico, conocido; nada complicado... sólo hay que buscarlo dentro de una auditoría completa del sistema y aparece, claro que aparece".
Lo hace en un artículo en su blog 'Un informático en el lado del mal' bajo el título 'Una historia de hackers, bugs en aplicaciones y la web de Movistar', donde se muestra muy crítico con la forma de reportar el error por parte de la organización de consumidores Facua. En el artículo insiste en que si se hubiera explotado el agujero de forma masiva se "podría haber accedido a mucha información, pero no toda".
"Un error conocido"
Después de hacer un recorrido por los muchos errores que han sufrido en sus sistemas gigantes como Microsoft o Apple en los últimos años, Alonso reconoce que el fallo sufrido por Movistar es "clásico y conocido". En sus palabras, un usuario introduce sus claves y accede a sus facturas, pero cuando modifica la URL para acceder a una factura que es de otro usuario, el sistema verifica que está con su sesión abierta, "pero no que esa factura es una de las que puede y debe ver".
Según él, se trata de un error "nada complicado" que aparece en una auditoría completa del sistema. El problema radica en que si se hacen cambios menores en la web y "por error humano" se inyecta ese error una vez inspeccionada, habría que volver a auditar. "Debería ser así, pero a veces se cometen errores y ese 'bug' sencillo se quedó en esa parte de la web".
La duda reside en si se hicieron bien los análisis. Él asegura que cuentan con equipos que buscan fallos constantemente, con auditores externos e internos que inspeccionan los proyectos antes de lanzarlos. "Los fallos aparecen por errores humanos, como en todas las empresas", apostilla. Reconoce, además, que cuentan con un programa de lo que se conoce en el argot como 'Bug Bounty', que recompensa a usuarios externos que encuentran grietas de seguridad. "Pero no dieron con esa", lamenta. "Sin excusas: es un fallo nuestro que podemos subsanar para ver cómo evitamos esto en un futuro".
Una forma de reportar "kafkiana"
El directivo se ha mostrado muy crítico con la forma de informar del error por parte de Facua, al igual que lo hicieron otros directivos de seguridad de la compañía, como explicó La Información. "Que se anuncie un 'bug' en una empresa, se convoque una rueda de prensa y se le diga a la empresa que no le va a dar los detalles hasta la rueda de prensa es lo más kafkiano que he visto en mi vida como investigador de seguridad", lamenta. Y apostilla: "Deja clarísimo cuáles son los objetivos de los que han reportado de esta manera, pero desde luego no era proteger a los usuarios".
Dejando claro que se trata de una opinión personal, Alonso cree que el objetivo de llevar a cabo este proceso de esa manera "sería sólo hacer daño a la empresa, darse autobombo y nunca preocuparse de los usuarios de esa empresa".
Con ese reporte de Facua, que se hizo sobre las 20:30 de la tarde y sin dar detalles concretos (según su versión), el equipo de investigación de Telefónica hizo una "batida express" de todos los sistemas y así localizarlo. "A las 4:30 de la noche del domingo al lunes, el 'bug' había sido descubierto y cerrado por los equipos de Seguridad y de IT de Telefónica de España; una ventana de 8 horas que podría haberse reducido a minutos si nos hubieran dado los detalles del bug antes", apunta.
Sobre la afección del error
Sobre el número de usuarios afectados, el hacker reconoce que si alguien hubiera explotado el error de forma masiva "podría haber accedido a mucha información, pero no toda, porque hubieran saltado otro tipo de sistemas de seguridad que no saltaron porque el acceso fue puntual".
"Del centenar de cuentas afectadas, la gran mayoría han sido accedidas por los investigadores [Facua], que utilizaron cuenta legítima del sistema para autenticarse, y por los que reportaron a bombo y platillo el fallo en una rueda de prensa", advierte. "Habrá que saber si utilizaron sus propias cuentas o si alguien robó una identidad para hacer el acceso inicial y luego hacer el ataque de 'URL manipulation' para ver los datos", insiste.
Estos y otros datos, según asegura, se conocerán cuando concluya la investigación, aún en curso, "y comencemos el postmortem completo".
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que lainformacion.com restringirá la posibilidad de dejar comentarios