La Generalitat sufre un ciberataque de principiantes por sus chapuzas informáticas

Un error de principiantes. Así califican los expertos consultados por Crónica Global la reciente brecha de ciberseguridad sufrida recientemente por la Generalitat de Cataluña. Cuatro subdominios de la institución se vieron afectados por una inyección de código SQL que puso al descubierto más de 5.000 registros de datos personales incluyendo correos electrónicos y contraseñas. Desde el 19 de noviembre, las páginas se han retirado y se encuentran en mantenimiento hasta que resuelva la incidencia.

La maniobra, un clásico del arsenal hacker, sorteó las barreras informáticas del Gobierno autonómico. Carlos Rollán, responsable técnico y fundador de Etic Data, se muestra tajante: "Este es uno de los ataques más extendidos por los ciberdelincuentes. Estamos ante un problema de falta de actualización y de mantenimiento". Este profesional reconoce que "la seguridad al 100% no existe", pero señala que el lenguaje de programación SQL se ha extendido como la principal opción para generar bases de datos por su rendimiento y alta fiabilidad. El problema, reitera, no está en el código, sino en la infraestructura.

"Ataques muy simples"

En este punto coincide Eusebio Nieva, director técnico de Check Point para España y Portugal con amplia experiencia en tecnologías de seguridad. "Todos los lenguajes son seguros siempre que se pongan en marcha las medidas adecuadas. Las inyecciones SQL son ataques muy simples que no tienen complicación tecnológica". En estas infiltraciones, los atacantes, en vez de introducir una entrada estándar, escriben ciertos símbolos en un formulario a la espera de obtener resultados inesperados. Este procedimiento puede reforzarse con el apoyo de programas que automatizan estas pruebas de ensayo y error hasta encontrar una llave que abra la puerta a las bases de datos digitales. Como explica Nieva, si la web no ha sido programada para repeler estos envites, probablemente se produzca una fuga comprometedora.

"Si no te preocupas en sanear la entrada, corres el riesgo de sufrir este tipo de ataques. Que una web de la Generalitat sea vulnerable no habla nada bien de sus programadores", observa. ¿Qué acciones se pueden implementar? Rollán menciona las autenticaciones en dos pasos (como las usadas en plataformas como Linkedin, Gmail y Skype), que permiten validar de forma personal el acceso a una intranet cuando se accede desde una IP desconocida. Pero no es la única vía para robustecer un sistema informático.

Subdominio de la Generalitat inactivo tras un ciberataque / GENERALITAT

Auditorías insuficientes

El empresario también cita las auditorías para validar constantemente el nivel de protección de un conjunto de redes. "Lo más fácil siempre es colarse a través de un error humano, ya que se trata del eslabón más débil. Por eso es importante controlar de forma periódica que no haya passwords débiles, componentes desactualizados, algún error en el código... son muchas vías que facilitan el acceso de un hacker", resume. Rollán incide en que, probablemente, estas revisiones internas hayan sido incompletas o insuficientes en la Generalitat.

Luis Corrons, security evangelist de Avast, señala que en este caso al menos se puso freno a la incursión de forma ágil. "Lo bueno del caso de la Generalitat es que fue un investigador de seguridad quien encontró el problema e informó sobre el asunto", cuenta. ¿Hasta dónde podrían haber llegado los ciberdelincuentes? "Un ataque de inyección SQL puede solo dar acceso a ciertos registros, o en el peor de los casos puede llevar a un compromiso total del sistema donde se encuentra la base de datos".

Reacción de la Generalitat

La institución catalana ha asegurado que los datos pertenecían solo a cerca de 180 usuarios y ha afirmado en un comunicado que "ninguna de las webs reportadas figura como un sistema crítico y, por tanto, no contenían datos críticos o sensibles".

Sin embargo, la Generalitat sigue sin tener respuesta de cuáles han sido las vulnerabilidades explotadas por los criminales. Para ello se ha abierto un procedimiento "para determinar si ha habido o no una explotación de esta vulnerabilidad que pudiera haber provocado una explotación de estos datos por terceros". Tras esta alambicada prosa se ocultan los puntos flacos de unos protocolos de seguridad que han quedado en entredicho con la última filtración.