¡¡Os he encontrado un fallo en la web!!

Antonio Fernandes, Tecnólogo Renacentista

2 julio, 2019
29 Compartido 1,833 Visualizaciones

Esta semana en el Linkedin de Fernando Acero me topé una noticia del portal de noticias ValenciaPlaza.com, en la que se informaba de que un juez había llamado como investigado a un ciudadano que había comunicado una vulnerabilidad en la APP de Metrovalencia y TRAM.

La vulnerabilidad en cuestión permitía consultar los datos personales de los usuarios incluyendo su dirección de correo electrónico, NIF, nombre completo, sexo, fecha de nacimiento, dirección postal completa y número de teléfono.

Antonio Fernandes, Tecnólogo Renacentista

Antonio Fernandes, Tecnólogo Renacentista

Como esto era poco, se podía llegar a saber las horas en las que estos usuarios usaban los servicios de transporte, con la consecuente posibilidad de “localización” de alguien en concreto.

¿Y por qué pasaba todo esto? Pues parece ser que el desarrollador de la APP optó por usar un “token” hardcodeado para la autenticación… Vamos que la clave para acceder a la información es siempre la misma.

Es como si alquilas un piso en un edificio inteligente y supercool con tecladito de código para entrar en tu vivienda… Pero que el “31337”, sea la clave para entrar en tu casa y también en la de los demás vecinos.

Aquí entramos en terreno farrangoso, se lee en esta noticia que “avisó a través de redes sociales”.

En el caso de que haya enviado un mensaje privado a los afectados, bueno, podría llegar a entender que no encontraba otra forma de contactar con ellos.

Ahora bien, si lo que hizo fue publicarlo y airearlo a los cuatro vientos, ha sido un auténtico irresponsable abriendo la puerta a Dios sabe cuántas personas malintencionadas que podrían haber hecho un uso nefasto de todos estos datos.

Después de las redes, leemos que incluso llegó a avisar a la AEPD e interpuso una denuncia en el juzgado (Esto último, yo creo que es porque se olía la tostada de lo que le podía pasar…).

Y bueno, ¿qué ha pasado?, pues efectivamente, que lo han citado como investigado (que no como investigador), ya que en “las diligencias previas se enmarcan en un posible delito de ataques a un sistema de información o interceptación de datos electrónicos, por lo que le llaman a declarar”.

No entraré a hacer mas juicios de valor, ya que ni es mi trabajo ni tengo toda la información, ya veremos qué dirimen los jueces que para algo están.

A priori, si no tienes un permiso expreso para vulnerar la seguridad de una empresa u organismo, y lo haces, estás cometiendo un delito.

Pero en base a esta noticia que os acabo de relatar sí que me gustaría comentaros una realidad…

A priori, si no tienes un permiso expreso para vulnerar la seguridad de una empresa u organismo, y lo haces, estás cometiendo un delito.

Nadie se va a escandalizar si digo en este foro público, que pocas son las organizaciones que tienen en cuenta la seguridad en el desarrollo del código, o que, las auditorías de seguridad / “pentesting” se realizan una vez cada año (o en loables casos, una cada 6 meses).

Y como nadie es perfecto, por muy buenos profesionales que hayan pasado por tus sistemas, y por mucho cariño y trabajo que pongas en ellos… Algo puede seguir existiendo que ponga en peligro tus datos o tu infraestructura.

¿Por qué castigar a quién de buena fe te advierte de un potencial fallo de seguridad que tus controles habían pasado por alto?

En otros países como en Holanda o en Francia, han establecido la vía de comunicación entre el investigador y el estado protegiendo a este último frente a posibles acciones legales posteriores.

En Junio de 2018 el Centre for European Policy Studies (CEPS) presentó un informe sobre el estado de un proceso que se llama Coordinated Vulnerability Disclosure.

Su objetivo es recomendar un marco de trabajo a la hora de establecer políticas en este tipo de procesos. No está de mas echarle un ojo para ver como está el panorama en Europa.

Hace poco se ha publicado la  Estrategia Nacional de Ciberseguridad y veo algunos puntos que me hacen pensar que no tardaremos mucho en ver por fin la protección al investigador y la apertura a toda la sociedad de ser partícipe de la seguridad de nuestros organismos públicos.

Y dirás tú, inteligente lector o lectora… ¿Y qué pasa con las empresas?

Las empresa tienen otras vía para poder disponer del potencial de miles y miles de investigadores… Pero eso, eso será otro artículo.

PD. He metido un “easter egg”… ¿Sabes cual?

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

¿Qué tienen que hacer las empresas para tener sus dispositivos móviles seguros?
Soluciones Seguridad
27 compartido1,555 visualizaciones
Soluciones Seguridad
27 compartido1,555 visualizaciones

¿Qué tienen que hacer las empresas para tener sus dispositivos móviles seguros?

Vicente Ramírez - 20 febrero, 2019

Los espacios de trabajo seguros son una necesidad. La hiperconectividad y la información almacenada en los dispositivos móviles son los…

La start-up española de ciberseguridad Smartfense se alza con el primer premio en el ‘Demo Day’ de Madrid
Actualidad
24 compartido1,360 visualizaciones
Actualidad
24 compartido1,360 visualizaciones

La start-up española de ciberseguridad Smartfense se alza con el primer premio en el ‘Demo Day’ de Madrid

Samuel Rodríguez - 26 febrero, 2018

Los diez proyectos finalistas del programa Aceleradora Internacional de start-ups en Ciberseguridad ‘Cybersecurity Ventures’ se han dado cita en Madrid para presentar…

El 63% de las empresas españolas sufre mayores intentos de fraude online que hace un año
Soluciones Seguridad
18 compartido2,605 visualizaciones
Soluciones Seguridad
18 compartido2,605 visualizaciones

El 63% de las empresas españolas sufre mayores intentos de fraude online que hace un año

Mónica Gallego - 20 junio, 2019

El coste reputacional que produce el fraude es la mayor preocupación de las compañías españolas, por encima de la cuenta…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.