Hacker halló otra falla de seguridad
La semana pasada se descubrió una brecha en servicio de Antel y hay un segundo caso
La semana pasada un hacker descubrió una falla en un servicio de Antel: Santiago Hernández halló un problema en el servicio “Encuentra”, que permite conocer la ubicación en tiempo real de los clientes de la compañía estatal.
Por estos días la historia se repite: Gonzalo López, profesional de seguridad, defensa e inteligencia que cursa el último módulo de la Maestría en Ciberseguridad, además de la licenciatura en Seguridad Pública, demostró que en otro servicio ocurría lo mismo.
“Luego del descubrimiento del colega Santiago Hernández realicé una mini POC rápida sobre otro servicio de ANTEL llamado ‘Ancel Útil’ para demostrar como nuestros datos personales entre otros servicios (ENVÍOS DE SMS FALSOS) son accesibles para cualquier persona con solo 5 minutos de su tiempo y un plugin. RECALCO QUE LAS PRUEBAS FUERON HECHAS SOBRE MI NÚMERO DE TELÉFONO y también aclaro que envié la POC al CSIRT de Antel”, contó en Linkedin. Tras algunas horas, el servicio se deshabilitó.
López explicó a El País que “una POC o Prueba de Concepto es un testeo realizado a menor escala con el fin de demostrar mediante los hechos lo que se formuló en una teoría. Es decir, tratar de probar la viabilidad del proyecto o la idea; en este caso la prueba de concepto era demostrar que se pueden seguir empleando los sistemas informáticos sin ninguna complicación para realizar el envío de mensajes de texto simulando ser otra persona. Aunque en este caso he utilizado mi propia cuenta, esto se hace extensible a todos los usuarios y eso es una vulnerabilidad
Dos “hackers éticos” uruguayos hallaron errores de seguridad en servicios de Antel.
que se transforma en un riesgo a la seguridad del sistema, poniendo en riesgo no solo la confidencialidad de los datos de los usuarios, sino que puede ser utilizado con fines delictivos o maliciosos”.
El experto señaló que con estas situaciones queda en evidencia la importancia de que los sistemas sean actualizados: el hecho de que no suceda “demuestra lo paupérrimo de las medidas de seguridad de la información que se adoptaron desde hace años y que aunque públicamente se diga que Uruguay es el país más ciberseguro, eso es engañoso; el hecho lo podemos ver los últimos días mediante ataques a las compañías de tarjetas prepagas y no solo eso, esta última semana he recibido consultas sobre ataques que se han enviado vía SMS (smishing) para robar los usuarios y contraseñas de los clientes de las principales entidades bancarias y financieras del país”.
Tanto Hernández como López son “hackers éticos”. “Es una forma de vida que incluye toda una cosmovisión ética respecto al hacking o la intrusión de los sistemas informáticos, pero de forma acotada podemos definirlo como un individuo que posee una formación en técnicas de hacking pero que las emplea para subsanar esas vulnerabilidades que descubrió en favor del propio damnificado y no en beneficio propio como lo haría un hacker malicioso”, explicó el experto.