El día después

Ayer fue un día largo. Después de descubir el fallo en la web de La Moncloa y escribir el artículo, vinieron los comentarios de los amigos, la publicación en diversos medios digitales, la reflexión…

Los comentarios que he recibido han sido muchos y diversos. Interesante, curioso, prepotente, divertido, esos fueron algunos de los adjetivos que usaron amigos y conocidos para describir su impresión sobre el artículo en referencia al fallo de seguridad en la Web de la Moncloa

Medios digitales como IBLNEWS o Kriptópolis se han hecho eco de la noticia aceptando mi palabra como única prueba de la verdad.

De todos los adjetivos que han usado, el que me ha llamado más la atención ha sido el de un íntimo amigo que lo ha calificado de «prepotente». No me indigna que una persona piense así del artículo, me preocupa mucho más que todo el mundo pueda pensar lo mismo.

Descubrir fallos de seguridad puede ser una tarea sumamente fácil, o todo lo contrario. Es casi imposible encontrarnos en el punto medio, o todo se hace en un par de minutos, o nos lleva largas horas de investigación y búsqueda. En este caso, fácil es como yo describiría el problema que nos atañe, tardé dos minutos en encontrar el nombre de usuario y el password usando simplemente mi navegador web.

¿Es un signo de prepotencia decir que fueron tan solo dos minutos? ¿Es un signo de prepotencia hacer público el error antes de comunicárselo a los administradores de la web? Mucha gente podría pensar que sí, pero no es prepotencia lo que quiero mostrar, es indignación, una indignación surgida porque los gobernantes han vuelto a demostrar lo mal que se puede gastar el dinero público, han vuelto a demostrar que no son capaces de aprender de sus errores.

He de decir que he descubierto el nombre de usuario y el password que da acceso a la base de datos, pero eso no significa que pueda modificar todas las páginas del servidor web, ni me garantiza que pueda acceder a la base de datos.

Primero, si consigo acceder a la base de datos solo podré modificar aquellas páginas cuya información procede de la base de datos.

Segundo, para acceder a la base de datos necesito localizar el servidor que hospeda la base de datos, que no tiene por que ser el mismo que hospeda la página web. Además, este servidor debería de estar situado fuera de una intranet, o sin protección de un firewall. Sin estas dos condiciones, de poco me sirve el nombre de usuario y el password.

Los encontré por casualidad, como quien encuentra una llave tirada en el suelo, esto no constituye un delito. Otro tema sería que yo cogiera ese nombre de usuario y password y me pusiera a probarlos en distintos servidores para ver si funcionan. Análogamente, si encuentro una llave en la calle no puedo empezar a probar una puerta detrás de otra para ver a que cerradura corresponde. Claro que si esta llave tiene un nombre y una dirección y yo no soy un ladrón, lo más normal es que intentara ponerme en contacto con el dueño de la llave para devolvérsela.

En el caso que estamos tratando, cualquiera puede comprobar que no existe forma alguna de contactar con algún responsable de La Moncloa a través de su sitio web. Así que, ¿qué debía hacer?

Mi intención como informático, no es dañar a cualquier institución como puede ser La Moncloa. Publicando esta información, simplemente reclamo un la llamada al sentido común y trato de colaborar para la reparación adecuada de los errores que este sitio pueda tener para que no se repitan los acontecimientos del pasado.

Tampoco es mi intención alardear de mis conocimientos informáticos, denunciando errores sin dar mayores explicaciones. Cuando el error sea corregido, publicaré como accedí a la información para que otros no caigan en los mismos errores. Mientras, a esperar que los programadores y administradores se hagan eco de la noticia y puedan rectificar sus errores.