Javier Cao: “Los medios de comunicación han pecado de sensacionalistas con la web de la presidencia española de la UE”

La noticia empezó hace exactamente una semana en las redes sociales de Internet y, posteriormente, por el resto de medios de comunicación de España y, poco después, por los medios de toda Europa y el mundo. “Mr.Bean se había colado en la web de la presidencia española de la UE”, un buen titular para cualquier medio de comunicación; incluso la BBC cayó en la trampa. Nada más lejos de la realidad. No fue un hacker sino un fallo informático básico. Entrevistamos a Javier Cao Avellaneda, Ingeniero en Informática, Consultor en seguridad de la información, Auditor ISO 27001, profesor de la Universidad Católica de San Antonio y Director Técnico del Área de Seguridad de la Información at Firma, Proyectos y Formación y uno de los blogueros que más domina de la materia, que nos explica ampliamente con todo detalle lo que sucedió.

- ¿Qué le pasó exactamente a la web de la presidencia española de la UE?

- Durante el día 3 de Enero saltó a los medios de comunicación la noticia de que un “hacker” había logrado saltarse los sistemas de seguridad de la recién inaugurada web de la Presidencia española de la Unión Europea (www.eu2010.es) y había incrustado en ella una imagen del conocido humorista británico Rowan Atkinson en su papel de Mr. Bean. En la portada de los medios aparecía la captura de pantalla del hecho con titulares a mi modo de ver demasiado sensacionalistas sobre el supuesto fallo de seguridad del portal www.eu2010.es.

Un servicio Web siempre tiene 3 partes: el servidor donde se aloja la página, el canal por el que circulan los datos que en este caso es Internet, y el cliente o puesto final desde el que se accede. En este caso, los usuarios desde sus casas. El incidente se produce porque circula por Internet una url (dirección de Internet) específicamente creada para hacer que en el PC del usuario, la página Web original sea vista con el señor Mr. Bean en una de sus partes. A este tipo de manipulaciones de las peticiones http se las denomina cross-site scripting (XSS). En la Wikipedia puede obtenerse más información sobre en qué consiste este problema de seguridad (http://es.wikipedia.org/wiki/Cross-site_scripting).

Realmente el sitio www.eu2010.es no ha sido vulnerado, en el sentido de que nadie ha tomado su control o ha accedido a él. En esta ocasión se volvió a cumplir aquello de “no dejar que la realidad estropee una buena noticia”. El problema radica en una vulnerabilidad del sitio Web denominada cross-site scripting (XSS) que a través de una petición especialmente manipulada que había circulado en forma de URL por redes sociales, mensajería, etc. se podía ver en el navegador del usuario que la pulsa la página Web modificada. El problema de visualización ocurre sólo en el PC del usuario que solicita esta petición manipulada. El Instituto Nacional de Tecnologías de la Comunicación (INTECO), adscrito al Ministerio de Industria, Turismo y Comercio, ha confirmado en su auditoría de seguridad sobre http://www.eu2010.es que “el supuesto ataque ha consistido en aprovechar una vulnerabilidad del código fuente denominada XSS (cross site scripting) dirigida a los usuarios de la web y no a la web en sí misma”. Según Inteco “este tipo de ataques, para resultar efectivos, deben combinarse con alguna técnica adicional que engañe al usuario de la web para que pinche en un enlace modificado malintencionadamente, por ejemplo, con ingeniería social”.

La petición real que circuló tenía esta forma. Se puede observar que dentro de la petición de consulta a la Web www.eu2010.es se indica qué foto poner. Podría haber sido el Sr Rowan Atkinson o cualquier otra imagen.

Se trata de un XSS tradicional no persistente. Es decir, si no se accede a través de ese enlace, en realidad no se puede ver ningún ataque. No deja de ser un problema de seguridad en el desarrollo de la web, pero no tiene nada que ver con el hecho de que alguien entre y tome el control de unos servidores.

- Si en realidad fue un presunto ataque, ¿por qué la página web de la presidencia española de la UE no fue visible hasta el miércoles por la tarde?

- Muy probablemente como consecuencia de la aparición en prensa de la noticia, muchos internautas decidieron visitar la página Web en un mismo periodo de tiempo, produciendo una demanda de tráfico contra la página Web que saturó los equipos encargados que albergan el portal www.eu2010.es. Esto es conocido en términos de seguridad de la información como un ataque de denegación de servicio, también llamado ataque DoS (de las siglas en inglés Denial of Service) [http://es.wikipedia.org/wiki/Ddos]. Es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. Es algo que también ahora se utiliza en las supuestas “manifestaciones online” cuando se solicita a usuarios que visiten una Web un día determinado a una hora determinada.

Es posible también que los responsables de los sistemas donde se alberga el portal www.eu2010.es decidieran solventar la vulnerabilidad de la aplicación, teniendo para ello que dejar sin servicio durante cierto tiempo los recursos informáticos que dan soporte a la citada Web mientras realizaban los cambios técnicos oportunos.

- ¿Han actuado correctamente los responsables de la web? ¿Cree que una web tan importante debería tener una mejor seguridad?

- La seguridad es un proceso continuo donde en todo momento hay que velar por que todo vaya correctamente. Es una profesión muy desagradecida porque si todo va bien, nadie valora el trabajo pero si hay problemas, todos te miran como el máximo responsable. En relación a la gestión de la seguridad de la información, todo va orientado a valorar y decidir según el nivel de riesgo y para ello, las estrategias a utilizar son preventivas, de detección y de corrección frente a incidentes. Siempre es más adecuado basar la seguridad en la prevención porque evita que ocurran los daños antes de que se produzcan. Como suele decirse, “más vale prevenir que curar” y en seguridad de la información esto también se aplica.

Desconozco cuales han sido las actividades relativas a la gestión de la seguridad que han sido tomadas en relación a la puesta en servicio de este portal y por tanto, no puedo valorar o juzgar si se ha actuado bien o no. El hecho de existir un fallo no tira por tierra todas las actividades preventivas que se hayan podido realizar. La seguridad no existe nunca garantizada al 100%. En todo momento hablamos de riesgos y su gestión. Tenemos un claro ejemplo estos días con el incidente de seguridad aérea de Houston. El hecho de que un pasajero haya podido vulnerar las medidas no significa que su aplicación no haya evitado que otros no lo hayan podido conseguir.

Y la seguridad siempre debe incluirse como elementos a considerar en el momento del diseño de los sistemas. Es necesario pensar desde la perspectiva de la seguridad. El experto americano Bruce Schneier lo explica perfectamente en el texto “Dentro de la Mente Torcida del Profesional de Seguridad”:

“La seguridad requiere una mentalidad peculiar. Los profesionales de la seguridad -al menos los buenos- ven el mundo de manera diferente. No pueden caminar en una tienda sin notar cómo podrían robarla. No pueden usar una computadora sin preguntarse acerca de las vulnerabilidades de seguridad. No pueden votar sin imaginarse cómo votar dos veces. Simplemente, no lo pueden evitar. Esta manera de pensar no es natural para mucha gente. No es natural para los ingenieros. La buena ingeniería implica pensar sobre cómo las cosas están hechas para funcionar; la mentalidad en seguridad involucra pensar sobre cómo las cosas pueden estar hechas para fallar. Esto implica pensar como un atacante, un adversario o un criminal. No tienes que explotar las vulnerabilidades para encontrarlas, pero si no ves el mundo de esa manera, nunca notarás tantos problemas de seguridad.”

Está claro que la web no fue “hackeada”, pero está igual de claro que contenía un problema de seguridad en su buscador. O bien no se había realizado una auditoría de seguridad o no se había prestado atención a los problemas de cross-site scripting encontrados. Ambas circunstancias suelen ser habituales. La primera podría suponer una negligencia en la gestión de la seguridad al no advertir los potenciales riesgos que un sitio público tiene al ser accesible a través de Internet, la segunda haber subestimado la pericia de un atacante a la hora de lograr con éxito explotar una vulnerabilidad conocida.

Lo que sí es evidente es que cualquier servicio accesible a través de Internet está expuesto a cualquier usuario que tenga acceso a la red. Y tenemos siempre usuarios “buenos” y “malos”. Hay que dar servicio a los usuarios normales pero también pensar que habrá usuarios maliciosos que intentarán vulnerar los sistemas o realizar peticiones extrañas con alguna intención ilícita. El problema es ignorar o desconocer los riesgos que realmente se asumen al colgar una página Web en Internet.

Internet no genera problemas de seguridad muy diferentes a los cotidianos de la vida real, solo los magnifica, hace que se multipliquen los daños.

Pongamos un símil del incidente pero en la vida real. Lo sucedido podría asimilarse a haber hecho una pintada (Incluso ni eso, porque como ya he explicado, el ataque no se sitúa en los servidores donde reside www.eu2010.es sino en los equipos PC de los usuarios que pulsaron el enlace maliciosamente.

Imaginemos que el portal www.eu2010.es fuera un edificio público y que en este caso, un ciudadano europeo hubiera conseguido hacer una pintada en su fachada. ¿Habría eso generado que el edificio se cerrara? ¿Habría sido visto por tantos ciudadanos? ¿Habría tenido similar cobertura mediática? Probablemente no.

Sin embargo, si presas por la curiosidad de la noticia, se presentan en ese edificio miles de ciudadanos, seguramente si habría que haber clausurado el acceso. Eso habría sido una denegación de servicio física porque la capacidad de atención a ciudadanos de un edificio es limitada. Con los servicios Web ocurre lo mismo, solo que la población que puede presentarse virtualmente en la Web es mucho mayor de la que puede hacerlo físicamente en la puerta del edificio. Lo real es complicado que pueda ocurrir pero lo virtual, es bien sencillo. Basta con teclear www.eu2010.es desde tu equipo de conexión a Internet.

- ¿Los medios de comunicación actuamos/actuaron correctamente al informar sobre este hecho?

- Yo creo que en este caso, los medios de comunicación han pecado de sensacionalistas. En relación a la seguridad de la información pura y dura de la Web, realmente este incidente no supone daño alguno dado que el supuesto problema de seguridad no afectaba ni a la confidencialidad de los datos, ni a la disponibilidad (inicialmente, luego veremos que sí) ni a la integridad (dado que en el lado servidor no hay alteración alguna). Por tanto, los daños calificables como operativos son CERO. Sin embargo, atendiendo a otras valoraciones que siempre han de hacerse si se ha producido un impacto o daño. El hecho de que hoy aparezca en prensa una noticia sobre un fallo de seguridad, se cuestione la inversión en el portal y la diligencia de la empresa encargada de gestionarlo es en sí mismo un daño en imagen. Una Web institucional es el escaparate de una Organización y por tanto tiene asignada una valoración en relación al daño a la imagen corporativa de la organización que representa. En este sentido, este incidente de seguridad mancha la imagen institucional que la presidencia europea ha querido dar y arranca su andadura con una noticia negativa. Además y de forma colateral (y me atrevo a aventurar que también atrevida) se está cuestionando la diligencia de la empresa contratada a tal efecto sin haber todavía asistido a un análisis técnico detallado de los hechos. Este quizás haya sido también el fallo de los responsables del portal que no han sabido dar quizás unas explicaciones técnicamente clarificadoras a los hechos.

Y los medios de comunicación sí pudieron ser responsables de un efecto colateral no deseado, al llamar la atención de multitud de ciudadanos sobre una página Web que hizo incrementar presumiblemente de forma impredecible sus visitas y que acabó afectando a la disponibilidad de la Web. Una noticia llamativa y una Web de relevancia que presentaba un aspecto gracioso hizo que muchos internautas, picados por la curiosidad quisieran en un breve espacio de tiempo consultar la página y ello acabo (de forma improvisada) generando una denegación de servicio en toda regla.

- ¿Qué conclusión o conclusiones se pueden sacar de este caso?

- La gestión de la seguridad es una actividad continua que debe basar su estrategia en la prevención fundamentalmente. En este caso, los hechos demuestran que si hubo un fallo de seguridad porque el portal www.eu2010.es era vulnerable. Habría que conocer qué actividades preventivas fueron realizadas antes de hacer accesible la Web a Internet. Si no fueron realizadas auditorías de vulnerabilidades, se subestimó el riesgo de que una web institucional pudiera ser objeto de un ataque de este tipo. La gestión de la vulnerabilidad no es una actividad estática, no es realizar un chequeo de vulnerabilidades, generar un informe y solventar las deficiencias. Es un proceso dinámico de gestión continua porque las vulnerabilidades se dan a conocer y hay que mitigarlas. Por tanto, su vigilancia no es simplemente cada cierto tiempo hacer una revisión, es una tarea continua de investigar si se conocen para los productos que tenemos instalados nuevas vulnerabilidades, si hay que aplicar parches, programar las tareas para mitigarlas y vuelta a empezar.

También es importante ahora para los técnicos acreditar que hicieron las cosas de forma correcta. La seguridad no existe nunca al 100% y siempre toca asumir riesgos. Sin embargo, no es lo mismo no haber hecho nada que haber hecho algo aunque no haya evitado el incidente. Lo primero demuestra NEGLIGENCIA, lo segundo, GESTIÓN DEL RIESGO. Las auditorias siempre tienen un doble objetivo. El primero y fundamental es encontrar deficiencias pero el segundo es evidenciar una situación en un momento dado. En este caso, contar con una auditoría de vulnerabilidades sirve para saber si se revisaron los sistemas y no se encontró el fallo o bien, el problema era conocido pero no se había “gestionado”.