Sistemas de Información inseguros

¿O deberíamos hablar de “organizaciones irresponsables”.

El viernes estuve en la FIST Conference de Barcelona (muy recomendable) y ello me hizo recordar varios ejemplos de fallos de seguridad importantes en los sistemas de información de muchas organizaciones, y lo simple que resulta aprovechar estas vulnerabilidades; esto no debería preocuparnos si las empresas trabajasen duro para evitar estos “problemillas”.

Os cuento cinco experiencias (de entre muchas):

  • Información desprotegida:  Hace algo más de un año pasé un par de meses en la ciudad de Pune (India) para trabajar en un proyecto de la empresa. Durante ese tiempo me alojé en un hotel de la ciudad, el cual, entre otros servicios, ofrecía acceso a Internet. Yo, aficionado a desconfiar de la seguridad en los sistemas de información, reviso los logs de mi equipo y observo que alguien desde el hotel intenta conectarse a mi equipo. Indagando el origen de tan macabro intento de perturbar mi tranquilidad, me topo con una red llena de agujeros, entre los cuales se encuentra el acceso bastante simple a la facturación y datos de clientes del hotel.
  • Asignación de privilegios: Utilizo una base de datos para gestionar las operaciones en las que intervienen varias personas. Dado que en lugar de asignarme permisos de usuario convencional me asignan permisos de administrador, hago click en un link para enviar un mensaje a otra persona y me encuentro que en lugar de un sistema de mensajes ese enlace me lleva a los datos personales de ese empleado.
  • Autenticación simple: Supongamos un país X en el que la autenticación para la sanidad pública se compone de un un identificador formado por fragmentos de datos personales fácilmente deducibles. Como usuario, ciertos datos que componen el identificador coinciden con los de otra persona a excepción de alguna cifra. Un día tecleando me equivoco y dada la cuestionable seguridad de autenticación, accedo a todos los datos personales de esa persona, pudiendo incluso realizar cambios en los datos.
  • Acceso a información sensible: Accedo a la web de una gran consultoría con el fin de aplicar a una oferta de empleo. Envío mi curriculum y su página web me ofrece previsualizar el envío, con lo que muestra un enlace tipo “http://www.empresa.com/careers/database/userxxxxx/mi_documento/”. Sorprendido porqué me muestran la ruta, decido comprobar que mis datos están en buenas manos y voy accediendo a niveles inferiores, donde me encuentro que todos los datos personales de los candidatos pueden ser leídos, descargados e incluso eliminados de la base de datos.
  • Autenticación cruzada: Alegremente reviso mi expediente en la página web de una de las universidades por las que he pasado (previa autenticación con mi login) y en un momento de aburrimiento, decido cambiar el “?id” final de la URL por el siguiente número consecutivo. ¡Tachán! Accedo a todos los datos de otro estudiante.

Estos casos, por si solos no són tremendamente alarmantes, aunque si peligrosos. No es que me pase el día buscando agujeros de seguridad en los sistemas ajenos, ni mucho menos practico el habilidoso hobby de atacar organizaciones; en cualquier caso, me gusta saber si la información que me concierne se encuentra a buen recaudo.

Normalmente, en el mismo instante que detecto las vulnerabilidades de los sistemas, lo comunico a las organizaciones, y en el mejor de los casos, tardan meses en corregir el fallo.

Enlaces relacionados:

Carlos Fragoso

Blog S21Sec