Moncloa admite fallos en su sistema de seguridad informática



Madrid. J. M. Nieves, R. García, A. Rodríguez.

Ninguno de los organismos cuyos ordenadores fueron «violados» por un equipo de ABC Informática y ByN quisieron ayer hacer comentarios sobre sus fallos de seguridad. Tan sólo, desde Moncloa, el jefe de la Sección Informática, reconoció la entrada en uno de sus ordenadores y admitió que un pirata informático que acceda a este servicio puede cambiar sus contenidos. También anunció cambios en el sistema para evitar nuevas entradas.

Como era de esperar, ninguno de los organismos «propietarios» de los ordenadores en los que pudo penetrar un equipo de redactores de «ABC Informática» y ByN con la ayuda de varios «hackers», reaccionó ayer ante la noticia de que sus servidores de información tienen graves problemas de seguridad. La excepción estuvo protagonizada por los responsables de Informática de La Moncloa que, en un comunicado de Prensa, aseguraban que «la seguridad y confidencialidad de los archivos del complejo no han sido vulneradas en ningún momento».

Como ya dijo este periódico en sus informaciones del domingo y del lunes, en ningún momento ABC pretendió vulnerar «la seguridad y confidencialidad» de archivo alguno sino, sencillamente, demostrar que ello era posible. Si en lugar de nuestro equipo de redactores, el «pirata» hubiera sido otro, habría podido causar graves daños en cualquiera de los sistemas «penetrados», incluído, por supuesto, el de Moncloa.

En la misma nota de Prensa, el jefe de la Sección Informática de Moncloa reconoció, de acuerdo con lo publicado por ABC, que «un pirata informático que acceda a este servicio puede modificar sus contenidos», y atribuyó la entrada en él «a un fallo en el sistema de seguridad que, para evitar nuevas intrusiones, será renovado íntegramente, con toda probabilidad antes de Navidades».

Ordenadores desconectados

Varios intentos de acceder a la página web que Moncloa hace pública en Internet, resultaron ayer infructuosos, lo que hace suponer que los técnicos desconectaron sus ordenadores de la red para evitar nuevas intrusiones y analizar los fallos en la seguridad de sus equipos.

Lo que no publicó ABC el domingo y el lunes es que, al acceder el periódico al «host» de Moncloa, no encontró sólo el ordenador en el que finalmente decidió entrar, sino que había varios más, también pertenecientes a Moncloa, en los que se podría haber entrado por otros medios. Si ABC decidió no entrar en todos ellos y limitarse a hacerlo en un sólo, fue porque con uno era más que suficiente para demostrar lo que se pretendía. Para este periódico era irrelevante el hecho de violar uno o todos los ordenadores de Moncloa que se encontraron en el «host».

Por otra parte, desde ayer figuran en poder de un notario todos los «passwd» de los ordenadores a los que ABC tuvo acceso. Como se explicaba en nuestra edición de ayer, el «passwd» contiene todas las claves de los usuarios de un sistema, y da la llave para acceder al resto de los datos de la computadora. Si el «passwd» de un ordenador tan «goloso» como el de Moncloa se hiciera público, es seguro que en cuestión de horas se producirían en él tal cantidad de accesos no autorizados que desbordarían con mucho la capacidad de reacción de los responsables de seguridad. Y, con toda probabilidad, muchos de los piratas de esta auténtica oleada intentarían, y probablemente conseguirían, lo que ABC no quiso hacer.

Sin embargo, insistimos, lo ocurrido no es únicamente (aunque también), culpa de los responsables de la seguridad informática. En efecto, para acceder a los secretos de los servidores de información de Moncloa, el Boletín Oficial del Estado (BOE) o la Universidad Nacional de Educación a Distancia (UNED), ABC exploró un agujero en la seguridad que ha sido descubierto hace poco tiempo, y que consiste en un error de programación en un fichero ejecutable por el usuario, llamado PHF, específicamente diseñado para permitir la búsqueda de direcciones electrónicas. Este programa, como decíamos en nuestra edición de ayer, viene, por decirlo de alguna manera, instalado de fábrica en numerosos sistemas UNIX. Por tanto, la responsabilidad de este problema no es exclusiva del administrador de un sistema concreto, aunque es fácilmente evitable. «ABC Informática» se ofrece a facilitar los procedimientos necesarios para solucionar este error a todos los gestores que lo soliciten.

Este periódico tuvo acceso a los «passwd» de los ordenadores de Moncloa, UNED, BOE y CSIC. A partir de ellos, resulta extremadamente fácil hacerse con las claves de los usuarios autorizados de cualquiera de estos organismos y acceder a toda la información que dichos usuarios autorizados manejan. El sistema de extracción de las claves de acceso a partir de un «passwd» es sencillo. Una vez accedido, el «passwd» es rápidamente copiado en el disco duro del ordenador del «pirata».

Claves no reversibles

Las claves contenidas en este fichero no son reversibles, esto es, no se puede recuperar la palabra (o palabras) clave que se están buscando a partir del galimatías de caracteres contenidos en el «passwd». Es necesario encriptar palabras y ver cuáles sirven y cuales no. Esta tarea se puede realizar con un sencillo programa «cazaclaves» (algunos de ellos se pueden encontrar, gratis, en Internet).

El cazaclaves, en conjunción con un extenso diccionario de términos (el utilizado por ABC contenía cerca de 200.000 palabras diferentes) irá probando hasta encontrar una o más claves autorizadas.

El sólo hecho de que alguien pueda siquiera intentar una acción como ésta supone un gravísimo problema de seguridad y, por supuesto, un desprestigio para todos aquellos organismos que se dejen «cazar» en un error que cualquier experto en Informática no dudaría en calificar como «de bulto».



© Prensa Espańola S.A.

Volver al comienzo

Volver