¿Qué pasa con la seguridad de la web?

El día de ayer Anonymous Perú (Piratas de la Red), atacó varias páginas web de instituciones del gobierno peruano, tal vez el ataques que más preocupación ha causado fue el lanzado contra el website de la Policía Nacional, específicamente el de las Aguilas Negras (la sección de la Policía Nacional que vigila los bancos), pudiendo hacerse con la base de datos de todos sus miembros y publicandola en su website. Los datos publicados por Piratas de la Red incluyen los nombres, el grado, el Carnet de Identidad Policial (CIP), el horario y ubicación de las entidades bancarias que custodian los oficiles en la ciudad de Lima. Al parecer el hecho de que la información no esté consolidada fue lo que libró que la identidad de todos los miembros de las Aguilas Negras en el interior del país sea revelada de igual forma.

Anonymous ya había anunciado a principios de esta semana un ataque a los websites de los gobiernos de Perú y Chile llamado "Operation Andes Libre Peru/Chile", video que tuvo repercución en los medios de comunicación masiva, sin embargo el video del viernes último que anunciaba una segunda fase de ataques tuvo menos recepción en los medios, aquí el video anunciando la segunda fase de ataques para el día de ayer Sábado 25 de junio de 2011:

 

 

Pero el problema de seguridad no sólo es de las webs peruanas, el día miercoles pasado (22 de junio 2011) en el periódico británico The Guardian, se informaba que el repositorio de plugins del popular CMS WordPress había sido comprometido y varios populares plugins entre ellos AddThis, WPtouch y W3 Total Cache, habían sido reemplazados por versiones que contenían backdoors que permitirían a los crackers tener acceso a los servidores que hostearan los websites. En abril de este año el servicio WordPress.com fue comprometido y los atacantes tuvieron acceso a las modificaciones del código fuente hechas para acomodar las funcionalidades sociales de dicho website, así como a las claves API de aquellos usuarios que integraron Twitter/Facebooks con sus blogs. Pero al menos la gente de WordPress.org actuo proactivamente y removió los plugin infectados y está obligando a todos los desarrolladores a cambiar sus passwords.

Pero tal vez el caso más espectacular de falla de seguridad de la semana que terminó fue el hecho de que durante 4 horas el servicio de almacenamiento en la nube Dropbox, permitió que sus usuarios se loguearan sin validar passwords, lo cual permitía a cualquier persona tener acceso a cualquier cuenta de Dropbox con sólo saber el nombre de usuario. Lo cual indica de que si se va a utilizar un servicio en la nube es mejor encriptar nuestros documentos ya que no se puede confiar en la seguridad de los proveedores de servicio.

Y también en la semana que pasó un ataque a Bitcoin (la moneda criptográfica de la red, que algunos legisladores tratan de prohibir), hizo que la cotización de dicha moneda cayera de 17 dólares por Bitcoin a apenas unos centavos en cuestion de minutos. Todo por el simple hecho de que la base de datos en el disco que contenía la billetera digital de los usuarios en el agente de intercambio de monedas MtGox  no estaba encriptada.

Bueno, uno puede entender que haya cierto interés en hackear a WordPress.org y poder accesar a literalmente millones de hosts en Internet para lanzar ataques DDoS o simplemente hacer Phishing, en el caso de Bitcoin el interés monetario es obvio se sustrajeron varios millones de dólares; pero en el caso de las Aguilas Negras, que sentido tiene exponer la vida de policias y sus familias por el sólo hecho de que protegen a instituciones bancarias, no que "Anonymous somos todos".

Lo que me sorprende es que hasta ahora la Policía Nacional no haya contactado a GoDaddy, la compañía que hostea la página web de Piratas de la Red para demandar la inmediata suspención de dicho hosting por violar claramente los términos del contrato de servicio y por otro lado contactar a Name.com, para exigir revele la identidad de quien ha comprado el dominio. En lo personal creo que la persona que ha lanzado este ataque contra la Policía Nacional del Perú y revelado la identidad de los agentes del orden es una persona joven, aún en sus veinte años, muy emocional y cree que este tipo de actitudes lo vuelven "cool", y no se ha dado cuenta de que al hacer esto está exponiendo a las familias de dichos agentes del orden a ser secuestradas. Además creo que debe haberle contado a algunos amigos su hazaña (así que comenzar a buscar en el twitter por pistas no sería una mala idea), me parece que es un miembro de la clase media alta (tiene acceso a una tarjeta de crédito) y puede estar en Lima o el extranjero.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.