Por José Manuel Gómez

No hace mucho, Bruce Schneier hablaba aquí sobre el potencial del buscador de ficheros locales de Google para localizar vulnerabilidades [0] en la propia máquina. Pero hoy vamos a hablar sobre el potencial del propio Google como herramienta de búsqueda de vulnerabilidades en todo Internet, un tema suficientemente importante como para que ya empiece a hablarse de los "Google hackers".

Hay muchos ejemplos acerca de cómo Google puede ser utilizado para acceder a información, programas o dispositivos sensibles. Sin ir más lejos, la prensa se hizo eco ampliamente de un ejemplo de este tipo de 'hacking', cuando habló de la localización de cámaras web [0] accesibles desde la Red.

En general, la publicación de una nueva vulnerabilidad proporciona muchas veces un nuevo término o cadena que buscar, y la extraordinaria potencia de Google a la hora de indexar se encarga del resto. Otras veces se utilizan operadores avanzados -y no muy conocidos- del propio buscador (como site, filetype, link, cache, intitle, inurl y similares). Para colmo de males, las búsquedas no han de realizarlas necesariamente humanos, sino que también pueden encargarse a robots o gusanos...

A primeros de diciembre se puso a la venta Google Hacking for Penetration Testers [1]. El libro desgrana, a lo largo de sus más de 500 páginas, abundantes ejemplos de cómo puede utilizarse el popular buscador para localizar sitios web vulnerables o información sensible que sus propietarios consideraban a salvo.

El autor del libro es Johnny Long, que mantiene un sitio web [2] donde continúa recopilando nuevos trucos para perfeccionar la búsqueda de vulnerabilidades mediante el uso de Google.

Long mantiene además una base de datos [3] de lo que él llama 'Googledorks' (queriendo designar algo así como 'víctimas estúpidas del buscador'). Los hay para todos los gustos: desde las búsquedas de significativos mensajes de error, hasta los sitios web que muestran directorios sensibles, pasando por la búsqueda de cámaras, impresoras, nombres de usuarios, etc, etc... Hoy por hoy, según los expertos, la única línea de defensa que pueden interponer los webmasters es un fichero robots.txt bien configurado.

Con independencia de que pueda haber quien opine que toda esta información debería ser ocultada, lo cierto es que el sitio web y el libro de Long bien merecen atención porque, para bien o para mal, el genio ya está fuera de la botella y haríamos muy mal en mirar hacia otro lado. Los expertos esperan que 2005 sea el año de despegue del 'Google hacking' y ya existen antecedentes preocupantes: baste recordar que una variante del tristemente célebre MyDoom ya utilizó Google, en agosto pasado, para obtener direcciones de correo electrónico.