Seguridad Web

Dos amigos están dando un paseo por el bosque cuando un oso empieza a perseguirlos. Uno de ellos echa a correr y su amigo le dice: "¿Estás loco? ¡No podemos correr más que un oso!". El primero responde: "No necesito correr más que el oso. Me basta con correr más que tú".

Este chiste resume un interesante artículo de Jeremiah Grossman (fundador y director técnico de WhiteHat Security) acerca del elusivo mito de la seguridad web total.

No cabe esperar de este artículo una sesuda discusión sobre cómo asegurar un sitio web para que sea invencible, porque el escrito trata en realidad sobre la imposibilidad de lograrlo. Aún más: Grossman afirma -con muy buen criterio- que ni siquiera es necesario aspirar a tanto.

Para Grossman hay dos tipos de sujetos que pueden tener interés en atacar un sitio web...

Fuente: Publico.es:

La Policía Nacional ha detenido a 76 personas por cometer diversas estafas a través de Internet, en la denominada operación "Ulises", la mayor realizada en España contra el fraude en la red con actuaciones en catorce comunidades autónomas y en la ciudad de Ceuta.

Los arrestados, según la Policía, empleaban diferentes modalidades para cometer sus fraudes, unos se dedicaban a realizar ventas o subastas fraudulentas de productos que nunca llegaban al comprador, y otros efectuaban transferencias bancarias no consentidas tras obtener las claves de acceso a la banca electrónica de sus víctimas. Las cantidades defraudadas varían entre los 400 y los 10.000 euros, y se estima que la cifra total supera los 3 millones de euros, según un nota de prensa del Ministerio de Interior.

Como recordaréis, hace unos meses Kriptópolis informó sobre la existencia de un sitio web "oriental" (aunque no muy oriental, como alguien ya apuntaba) que exponía listados con las contraseñas de acceso FTP de cientos de sitios web españoles.

En aquel momento no quise publicar los detalles, porque consideré que hacerlo podría perjudicar a algunos de estos sitios que quizás no hubieran cambiado sus contraseñas. Sin embargo, mi prudencia fue recibida entonces con escepticismo y desconfianza por parte de algunos.

Afortunadamente los responsables de los cuerpos de seguridad españoles parece que se tomaron el asunto con interés, porque a las pocas horas el sitio en cuestión ya estaba inaccesible. Sin embargo los datos en cuestión seguían estando disponibles en la caché de Google, por lo que el tema estaba resuelto sólo al 50%, que es lo mismo que decir que -en la práctica- seguía existiendo riesgo. A las pocas semanas la situación empeoró aún más, porque el propio servidor original volvía a servir los mismos ficheros.

La discrección de las fuerzas de seguridad me mantiene en la ignorancia, y sólo me permite especular sobre qué pudo suceder a partir de ese momento, pero lo cierto es que tanto el servidor original (arkanum punto in), como la copia cacheada, hace tiempo que han dejado de ser accesibles.

Para algunos lectores se tratará de un secreto a voces, porque ellos ya habían apuntado a este origen. Los más escépticos quizás puedan ahora comprobar que Kriptópolis no suele dar puntada sin hilo...

Aunque no lo he visto publicado en ningún sitio, aunque eBay y PayPal no han dicho nada, y aunque no se ha mencionado de niguna forma extraoficial, os diré que eBay ha tenido un serio problema de seguridad. ¿Fuentes? Yo mismo: me han juanqueado la cuenta de eBay, y a través de ella, la de PayPal.

El cómo lo ignoro. Lo cierto es que ayer aparecieron de golpe y porrazo cuatro cargos de 36,04€ (50 dólares americanos) realizados a dos juegos on-line diferentes, en concepto de "moneda de juego". Supongo que para venderla más tarde a precio de ganga en otros lugares. Y no he sido el único, por cierto: un compañero de trabajo (curioso, ¿verdad?) ha recibido dos cargos por valor de 150 y 350 dólares respectivamente, por los mismos conceptos...

Por mucho que las entidades bancarias se empeñen en afirmar lo contrario, las gestiones dinerarias en el medio electrónico siguen comportando importantes riesgos.

Ante esa realidad (y sus consecuencias) lo mejor que pueden hacer los bancos es no tratar de responsabilizar a los usuarios y asumir las pérdidas sin rechistar, como parece haber ocurrido en el caso enlazado.

De otro modo, apaga y vámonos.