Seguridad en redes

Ayer dí una charla de «Seguridad en redes», y bueno, como debía ser de carácter general evité el lado técnico; y para ello me dediqué a dar una serie de ejemplos para dejar claro que el lado humano es el punto más débil del eslabón.

Al finalizar la charla me preguntaron por un incidente de «seguridad» que tuvimos a principio de año y por el cual aparecimos en todos los diarios de circulación nacional. Como ha pasado el tiempo, puedo comentarla tranquilamente.

En los diarios se dió a entender que habrían ingresados a los servidores de la universidad. En realidad, los periodistas allí escriben la historia de quien se la cuenta más bonita, que en estos casos suele un joven estudiante «genio» de la computación.

El hecho es que no fue así. Para enteder el problema, hay que situarse en el contexto. El proceso consta de 2 etapas. En la primera, se entregan los resultados de las pruebas de admisión a las universidades del Consejo de rectores; y en la segunda; se entregan los resultados de las postulaciones; lo cual sucede algunas semanas después. Los resultados, se supone, quedan disponibles a partir de las 00:00 horas del día anunciado. Por lo tanto, se requiere que todas las universidades colaboren con ese compromiso.

Así fue que cada universidad los resultados fueron publicados en una URL dada (por ejemplo, «http://www.universidad.cl/resultados/»), y en la página principal se indicaba que los resultados podrían ser recogidos allí. Por lo tanto, para el segundo período, no se hizo nada más inteligente que publicar los resultados de las postulaciones en la misma URL pero no anunciar el hecho en la página principal. Esto se realizó en la tarde del día anterior. Las personas a cargo, pensaron que al no poner un enlace en la página principal, nadie sabría que los resultados estaban allí (obviamente, era la oportunidad para venderles el volcán Llaima o el río Bío-Bío :-)

No hay que ser genio para darse cuenta que cualquiera que tenga esa URL entre sus lugares más visitados, podría consultarlo directamente ya sea por curiosidad, volver a consultar su puntaje, porque lo cargó accidentalmente, porque a esa altura ya está indexada en los buscadores. Luego es cosa que se comience a pasar la voz, y ya está. Portada segura en los diarios.

Como se puede apreciar, no hubo intrusión ni se requirió de ninguna artimaña. Eso me sirvió para dejar más claro cuan débil es el lado humano. Como corolario, basta ver cuantos usuarios tienen sus contraseñas escritas en un post-it pegado en el monitor de su escritorio.

Aunque toco madera, mientras hayan computadores con Hasefroch...