Yahoo Finanzas Un hacker consigue desmontar el sistema de seguridad de numerosas empresas con un simple truco
¿Cómo te imaginas el sistemas de seguridad de grandes empresas de Internet? Seguro que repleto de trucos, variables, contraseñas y diversos sistema que impiden que nadie que no tenga el permiso acceda a ellos. Pero, ¿qué pasa cuando alguien consigue acceso? Pues barra libre de información. De ahí que la clave para los hackers sea engañar a los sistemas para que crean que ellos son un usuario registrado y legal, y de esa forma conseguir todos los datos que deseen. Y para conseguirlo no hace falta saber mucha programación. Solo ser muy listo, como ha demostrado un hacker llamado Inti De Ceukelaire.
Como informa Gizmodo, Inti De Ceukelaire es el nombre de guerra de un investigador de seguridad informática de origen belga que ha descubierto un agujero de seguridad de lo más simple que ha expuesto a miles de empresas de tecnología del mundo.
Muchas de las empresas punteras de Internet y del mundo de la tecnología (y de otros sectores como las finanzas, la industria o incluso las aerolíneas) utilizan programas como Slack para que sus empleados se comunique entre sí. Para quien no lo conozca, Slack es una especie de sistema de mensajería que es a la vez un Messenger un servicio de correo electrónico y una especie de WhatsApp, además de un espacio online en el que mantener reuniones y trabajar en equipo.
A su vez, muchas de esas empresas utilizan un sistema denominado de ‘tickets’ para comunicar algún tipo de incidencia en los sistemas informáticos, de redes sociales o de sistemas de la compañía. Por ejemplo, si un trabajador tiene el ordenador estropeado (porque no puede conectarse a determinada web o a determinado programa), abre un ticket (sería el equivalente a poner una incidencia) para que el servicio informático atienda su petición y lo solucione. Este sistema no solo sirve para problemas informáticos: si un periodista de un medio de comunicación no tiene acceso a Facebook para publicar noticias, abre un ticket para que alguien lo solucione.
Volviendo al hacker, Ceukelaire descubrió que si se hacía pasar por un empleado creando una cuenta de correo falsa vinculado a una cuenta de Slack, y abría un ticket dando como dirección de respuesta esa misma de Slack, podía conseguir información tan sensible como las contraseñas para determinados servicios. Por ejemplo, de la propia cuenta de Slack privada de la compañía.
Sí, suena un poco enrevesado y lo es. Pero la conclusión es muy clara: si conseguía acceder a Slack, se podría hacer pasar por uno de los empleados y solicitar la información que más le interesase, y así conseguir datos tremendamente jugosos, sin necesidad de programar ni sin tener que hacer nada que se saliera de lo común.
Inti De Ceukelaire es un hacker ético, por lo que avisó a las diferentes compañías afectadas por su sistema y cambio consiguió generosas recompensas de hasta 15.000 euros. Además, Slack ha modificado su sistema de seguridad para que no se pueda repetir un fallo similar.
