martes, 25 de abril de 2017

Fallo de seguridad en la web de Juventudes Socialistas de España

El mundo de internet

Al parecer hace 4 años el hacker avisó a Rafael Oñate Molina, responsable de modernización e innovación, y le dijeron que estaban muy ocupados preparando un Comité Federal.

Hace unos días lo volvió a intentar y el fallo seguía sin corregirse. Así que decidió ponerlo en conocimiento de las autoridades,a la unidad de delitos telemáticos de la Guardia Civil, y después hacerlo público.

Rafael Oñate Molina afirma no recordar esa conversación, que ha pasado tiempo pero que aún así cree que lo recordaría.

¿Pero que datos podrían haber estado al descubierto?

  • Email
  • DNI
  • Telefonos móviles
  • Cuentas bancarias
  • Cualquier dato almacenado en su base datos
Lo importante cuando se tiene conocimiento de un fallo de seguridad de este tipo es corregirlo cuanto antes y no desentenderse hasta que ocurre algo grave.

¿Cómo se podría hackear?

Este fallo de seguridad se detecto hace ya 20 años. Consiste en introducir código SQL en cualquier campo que pueda escribir el usuario:
  • buscador
  • usuario y/o contraseña
  • formulario de contacto, etc...
Éste hace una consulta al servidor y le reporta todos los datos que tenga.

¿Los fallos de seguridad son algo puntual?

Desgraciadamente son más comunes de los que pensamos, puede que algunos recuerden la popular red social para infieles llamada Ashley Madisson. El hacker consiguió recoger datos con los que después chantajeaba a la gente para no revelar sus aventuras extramatrimoniales.

Algo parecido ocurrió en 2015 en LastPass, un programa dedicado al almacenamiento de tus contraseñas, se dedica:
  • Almacenamiento de contraseñas ilimitado
  • Conserva registros digitales(datos en webs, contraseñas Wifi...)
  • Rellena automáticamente los datos de pago y envío
  • Comparte contraseñas sin necesidad de enviarlas por sms
  • Puedes utilizarlas en cualquiera de tus dispositivos
Fallos de seguridad de este tipo pueden llegar a hundir cualquier empresa.
Aún así, afecta a miles de webs creadas con pocos recursos y que no han pasado una mínima auditoría antes de quedar accesibles 'online'. Lo cierto es que hay fallos más complicados de detectar que otros, en el caso que estábamos hablando de JSE no era tan complicado, ya que ese fallo se descubrió hace ya 20 años. A veces lo barato sale caro.

¿Cómo evitar los fallos de seguridad?

Primero tenemos que distinguir entre dos tipos de hackers, los llamados de sombreo negro y los de sombrero blanco.

Los primeros (sombrero negro) se dedican a hackear por beneficio personal, el que extorsiona, borra o hace públicos ciertos datos. Sería el conocido como criminal informático.

Y por otra parte están los hackers de sombrero blanco rompen la seguridad para posteriormente poder mejorarla. Muchas empresas los contratan para ver donde falla su sistema y estar en continua mejora de la seguridad.

Para poder conseguir una web o aplicación tanta para iphone como para android segura es necesario invertir en seguridad, esta inversión no es algo tangible que pueda verse pero es necesario hacerla. Algunas empresas comienza a interesarse en el tema cuando ya han sido hackeadas y no hay vuelta atrás.

Tan importante como el diseño de una web o aplicación es su seguridad, y en Edina te podemos ayudar y aconsejar sobre cualquier duda que tengas. 
No hay comentarios:
Publicar un comentario