Ciberseguridad

Las chapuzas de la Generalitat en ciberseguridad provocan un ataque apto para novatos

3 minutos

web_generalitat_catalunya

Los altos estándares en ciberseguridad brillan por su ausencia en la Generalitat. Según ha publicado el diario El Español el nivel de chapuzas es tal que ha sufrido una ataque de principiantes. No hacía falta ser un hacker experimentado para violar las barreras del Gobierno de Cataluña, hasta un novato podría haberlo hecho. La página web de la Generalitat de Catalunya ha expuesto más de 5.000 registros de datos personales de usuarios que incluyen correos electrónicos y contraseñas debido a una vulnerabilidad que permitía la inyección de código malicioso, y que actualmente se está investigando para su solución.

La vulnerabilidad ha afectado a cuatro subdominios de la Generalitat pertenecientes a diferentes herramientas de educación y cultura. Son estos: login.regsega.cathttp://culturaeducacio.gencat.cat; aplicacions.ensenyament.gencat.cat https://jocdelsdrets.gencat.cat/.

"Que una web de la Generalitat sea vulnerable no habla nada bien de sus programadores".

Eusebio Nieva, director técnico de Check Point para España y Portugal, ha manifestado al citado medio que "Todos los lenguajes son seguros siempre que se pongan en marcha las medidas adecuadas. Las inyecciones SQL son ataques muy simples que no tienen complicación tecnológicas Si no te preocupas en sanear la entrada, corres el riesgo de sufrir este tipo de ataques. Que una web de la Generalitat sea vulnerable no habla nada bien de sus programadores".

Los atacantes habrían entrado automatizando el sistema de ensayo y error escribiendo determinados símbolos para violar la ciberseguridad de la empresa. Se hubiera podido mejorar la ciberseguridad mediante la autenticación en dos pasos y también con una mejora y implementación básica de lan política de ciberseguridad de la empresa, que hubiera incluido auditorías para controlar la existencia de contraseñas débiles, actualizaciones no realizadas, etc. Los ataques de injección SQL pueden llegar a ser muy peligrosos, a la vez que fáciles de realizar, según se puede comprobar en este post de Diego Lázaro, experto en Desarrollo Web en PHP y SEO, en su web: Un ataque SQL Injection se produce cuando el atacante intenta inyectar código SQL malicioso en la base de datos de la víctima, y fuerza a la base de datos a ejecutar esa sentencia.

Subdominio de la Generalitat inactivo tras un ciberataque / GENERALITAT
Una de las páginas clausuradas que a día de hoy sigue en mantenimiento. http://login.regsega.cat/ junto con http://aplicacions.ensenyament.gencat.cat/ y https://jocdelsdrets.gencat.cat/

La Generalitat ha manifestado que los datos expuestos pretenecían solo a unos 180 usuarios y ha difundido en un comunicado que "ninguna de las webs reportadas figura como un sistema crítico y, por tanto, no contenían datos críticos o sensibles".

La Generalitat afirma que los datos expuestos no superan los 200, pero podrían acercarse a los 6.000

Sin embargo, siempre según El Español, no ha detallado cuáles han sido las vulnerabilidades que han sido aprovechadas por los piratas informáticos. Así, ha abierto un procedimiento con el fin de "determinar si ha habido o no una explotación de esta vulnerabilidad que pudiera haber provocado una explotación de estos datos por terceros".

La claridad en la exposición de los hechos ha brillado por su ausencia. La noticia no es una inocentada. Según ha confirmado a la agencia de noticias Europa Press el investigador de ciberseguridad Touseef Gul, "el error consistía en la inyección de código SQL, una vulnerabilidad presente en una aplicación en el nivel de validación de las entradas para realizar operaciones sobre una base de datos" y en el caso de uno de los subdominios violados (aplicacions.ensenyament.gencat.cat) se expuso una base de datos con 5.597 registros de datos, incluidos correos electrónicos y contraseñas pero también otros datos como centros educativos, como han confirmado fuentes de la Generalitat a la misma agencia de noticias.

La vulnerabilidad fue descubierta la semana pasada, cuando se informó a la Generalitat, según ha informado Touseef, y desde el 19 de noviembre tres de las páginas se retiraron y se encontraban en mantenimiento, como ha confirma el Gobierno catalán.

"Un ataque de inyección SQL puede solo dar acceso a ciertos registros, o en el peor de los casos puede llevar a un compromiso total del sistema donde se encuentra la base de datos", ha explicado Luis Corrons, Security Evangelist de Avast.