Esta semana en el Linkedin de Fernando Acero me topé una noticia del portal de noticias ValenciaPlaza.com, en la que se informaba de que un juez había llamado como investigado a un ciudadano que había comunicado una vulnerabilidad en la APP de Metrovalencia y TRAM.

La vulnerabilidad en cuestión permitía consultar los datos personales de los usuarios incluyendo su dirección de correo electrónico, NIF, nombre completo, sexo, fecha de nacimiento, dirección postal completa y número de teléfono.

Como esto era poco, se podía llegar a saber las horas en las que estos usuarios usaban los servicios de transporte, con la consecuente posibilidad de “localización” de alguien en concreto.

¿Y por qué pasaba todo esto? Pues parece ser que el desarrollador de la APP optó por usar un “token” hardcodeado para la autenticación… Vamos que la clave para acceder a la información es siempre la misma.

Es como si alquilas un piso en un edificio inteligente y supercool con tecladito de código para entrar en tu vivienda… Pero que el “31337”, sea la clave para entrar en tu casa y también en la de los demás vecinos.

Aquí entramos en terreno farrangoso, se lee en esta noticia que “avisó a través de redes sociales”.

En el caso de que haya enviado un mensaje privado a los afectados, bueno, podría llegar a entender que no encontraba otra forma de contactar con ellos.

Ahora bien, si lo que hizo fue publicarlo y airearlo a los cuatro vientos, ha sido un auténtico irresponsable abriendo la puerta a Dios sabe cuántas personas malintencionadas que podrían haber hecho un uso nefasto de todos estos datos.

Después de las redes, leemos que incluso llegó a avisar a la AEPD e interpuso una denuncia en el juzgado (Esto último, yo creo que es porque se olía la tostada de lo que le podía pasar…).

Y bueno, ¿qué ha pasado?, pues efectivamente, que lo han citado como investigado (que no como investigador), ya que en “las diligencias previas se enmarcan en un posible delito de ataques a un sistema de información o interceptación de datos electrónicos, por lo que le llaman a declarar”.

No entraré a hacer mas juicios de valor, ya que ni es mi trabajo ni tengo toda la información, ya veremos qué dirimen los jueces que para algo están.

A priori, si no tienes un permiso expreso para vulnerar la seguridad de una empresa u organismo, y lo haces, estás cometiendo un delito.

Pero en base a esta noticia que os acabo de relatar sí que me gustaría comentaros una realidad…

A priori, si no tienes un permiso expreso para vulnerar la seguridad de una empresa u organismo, y lo haces, estás cometiendo un delito.

Nadie se va a escandalizar si digo en este foro público, que pocas son las organizaciones que tienen en cuenta la seguridad en el desarrollo del código, o que, las auditorías de seguridad / “pentesting” se realizan una vez cada año (o en loables casos, una cada 6 meses).

Y como nadie es perfecto, por muy buenos profesionales que hayan pasado por tus sistemas, y por mucho cariño y trabajo que pongas en ellos… Algo puede seguir existiendo que ponga en peligro tus datos o tu infraestructura.

¿Por qué castigar a quién de buena fe te advierte de un potencial fallo de seguridad que tus controles habían pasado por alto?

En otros países como en Holanda o en Francia, han establecido la vía de comunicación entre el investigador y el estado protegiendo a este último frente a posibles acciones legales posteriores.

En Junio de 2018 el Centre for European Policy Studies (CEPS) presentó un informe sobre el estado de un proceso que se llama Coordinated Vulnerability Disclosure.

Su objetivo es recomendar un marco de trabajo a la hora de establecer políticas en este tipo de procesos. No está de mas echarle un ojo para ver como está el panorama en Europa.

Hace poco se ha publicado la  Estrategia Nacional de Ciberseguridad y veo algunos puntos que me hacen pensar que no tardaremos mucho en ver por fin la protección al investigador y la apertura a toda la sociedad de ser partícipe de la seguridad de nuestros organismos públicos.

Y dirás tú, inteligente lector o lectora… ¿Y qué pasa con las empresas?

Las empresa tienen otras vía para poder disponer del potencial de miles y miles de investigadores… Pero eso, eso será otro artículo.

PD. He metido un “easter egg”… ¿Sabes cual?