El hacker crackeado
Parece que hay alguna gente interesada en crackear el servidor donde se hospeda mi sitio web. Varios medios digitales se han hecho eco de la vulnerabilidad que presentaba La Moncloa, lo que ha incrementado el tráfico, y provocado una cantidad de ataques sin importancia. Es como si alguna gente no se hubiera dado cuenta de cuales eran mis intenciones cuando hice pública la vulnerabilidad.
Hace casi dos años, en concreto el 12 de Febrero de 2000, la empresa Hispasec, en su habitual boletín de seguridad una-al-día del 13 de Febrero de 2000, avisaba de que páginas asp con errores pueden revelar el código fuente. Este boletín, que yo recibo cada día y recomiendo a todo el mundo, me llamó bastante la atención. Coincidió que en aquella época, acaba de programar mis primeras páginas ASP para usos comerciales y estaban apunto de pasar a producción, así que me puse a revisarlas para ver si veían afectadas por los problemas anunciados en el boletín. El resultado fue desastroso, tenían errores como los que describía Hispasec por todas partes.
Me puse a hacer una pequeña indagación para ver cuantos servidores adolecían de estos problemas, y lo más curioso fue encontrarme que el propio servidor de Hispasec no hacía una correcta validación de los datos de entrada y, además, facilitaba información adicional sobre el error en tiempo de ejecución que se producía. Inmediatamente me puse en contacto por correo electrónico con Bernardo Quintero, uno de los miembros de Hispasec, para comunicarle el problema, lo que nos enzarzó en una conversación muy interesante sobre el tema.
Un mes mas tarde, un nuevo boletín una-al-día informaba sobre situaciones similares que se podían con páginas dinámicas y usuarios maliciosos. No podían haber sido más oportunos, porque en aquel momento me encontraba trabajando en un «webmail», el tipo de aplicaciones más afectadas cuando se usan páginas dinámicas que permiten la entrada de datos a los usuarios maliciosos. Curiosamente, aún no he terminado aquella aplicación de «webmail» en la que estaba trabajando, pero todo se andará.
Como ya he dicho, después de leer aquellos boletines me puse a investigar sobre el tema con detenimiento. En los últimos seis meses, he estado realizado pruebas en unos 100 sitios web de grandes portales de noticias para comprobar hasta que punto podían ser vulnerables. Estoy en las etapas finales de tabulación de datos, y espero poder hacer públicos los resultados a principios del año que viene. Las primeras cifras que estoy manejando arrojan que el 97% de estos sitios son vulnerables. No quiero decir con esto que haya conseguido acceso al 97% de estos sitios, la vulnerabilidad de la que estamos hablando es no verificar los datos que introduce el usuario. Cuando no se produce esta verificación, podemos tener el camino abierto para llegar más lejos, como en el caso de La Moncloa, pero no siempre.
Volviendo al título de este artículo, el hacker crackeado, tengo que destacar que es completamente falso: ni yo soy un hacker, ni mi sitio web ha sido crackeado. Por un lado, no puedo negar que me gusta la temática hacking, pero del mismo modo que ser aficionado a la pesca no te convierte en un pescador, un interés por la temática hacking no convierte a nadie en un hacker.
No sé si debiera de ser un motivo de orgullo o de preocupación el que haya gente interesada en crackear mi sitio web. Tampoco sé que es lo que les impulsa a hacerlo. La verdad es que no tendría mayor importancia que alguien lo crackeara, ni sería la primera vez que me pasa ni he invertido 7 millones de pesetas en su desarrollo.
Después de toda esta parrafada, lo que intento decir es, lo importante no es conseguir acceso a este servidor, o a aquel, o al otro, lo importante es lo que aprendemos en el camino y como usamos esos conocimientos en el futuro. El camino de apredendizaje en cualquier campo es muy lento y nos da pocas recompensas, excepto las personales.
Mi intención cuando hice pública la vulnerabilidad de La Moncloa no fue alcanzar la fama, ni proclamarme un gran hacker, ni dejar en ridículo a la administración española. Si hubiera querido hacer algo así, hubiera entrado a modificar todo lo que se me encontrara por delante y seguro que hubiera conseguido llamar mucho más la atención a los medios de comunicación.