No atribuyas a un ‘hacker’ lo que puede explicar la estupidez

La mala gestión revela miles de datos en EE.UU

nmerosPor:Sergio Ferrer

El último fallo de seguridad en EE.UU ha revelado datos personales de miles de personas. El culpable en esta ocasión es el error humano y la falta de previsión.Cada vez que salen a la luz datos privados se piensa en hackers que actúan desde la sombra. Pero en algunas ocasiones los responsables son los propios administradores del sistema quienes dejan la información expuesta por accidente, fruto de la mala gestión de la red.

Un nuevo fallo de seguridad salió este mes a la luz en EEUU, al descubrirse que una oficina gubernamental de Texas había filtrado nombres, fechas de nacimiento y otros datos de numerosos niños.

El periodista Brian Krebs fue el siguiente en señalar que la empresa MBIA había hecho públicos números de cuenta y balances económicos. Los portavoces de la empresa describieron como “incontable” la información hecha pública.

Pero la filtración no se detuvo aquí: una universidad reveló los datos de todos los alumnos que habíansolicitado entrar en los últimos años. El estado de Kansas hizo públicos números de la Seguridad Social, y en Baltimore se facilitaron los nombres de varios agentes del Gobierno. Algo estaba pasando.

numero2Todas las miradas apuntaron a esos hackers que un día roban fotos de famosas y otro hurtan secretos de Estado. Pero el experto de seguridad Bryan Seely se dio cuenta de que todos estos datos estaban a tan solo una búsqueda de Google de ser encontrados.
Todas las miradas apuntaron a esos hackers que un día roban fotos de famosas y otro hurtan secretos de Estado. Pero el experto de seguridad Bryan Seely se dio cuenta de que todos estos datos estaban a tan solo una búsqueda de Google de ser encontrados.

El culpable había sido la mala configuración de los servidores de la base de datos Oracle Reports por parte de los administradores del sistema, que había dejado toda la información en bandeja de plata para los piratas informáticos. “Que hackers encuentren números de la Seguridad Social e información sanitaria es devastador, pero obtener cuentas bancarias con las instrucciones para vaciarlas es potencialmente catastrófico”, asegura Seely.

Y es que a pesar de todo el empeño que ponen empresas y gobiernos en mejorar la ciberseguridad, la línea de defensa más débil no está en los unos y ceros del software sino en las manos del ser humano. En este caso miles de millones de dólares que, en palabras de Seely, “estaban custodiados por un guardia de seguridad dormido”.

Sistemas imposibles de configurar

La hacker especialista en seguridad Dana Taylor ya alertó a Oracle en 2011 de fallos de seguridad, según asegura The Washington Post. A raíz de ello, la empresa alertó a los clientes de que debían instalar parches de actualización en 2012.

Otra cosa es que los usuarios entendieran la importancia de estas instalaciones. Taylor cree que probablemente los administradores de la base de datos no estaban familiarizados con sus propios servidores.
Además, el investigador en ciencias de la computación de la Universidad de Colombia Steven Bellovin, explica a The Washington Post que algunos sistemas “son imposibles de configurar correctamente”, debido a su complejidad.

Por lo tanto no todas las instituciones solucionaron el fallo, o puede que algunas no lo arreglaran en todos los servidores. Cabe preguntarse qué parte de culpa recae en una compañía como Oracle, cuyas actualizaciones son muy complicadas. De hecho, las configuraciones por defecto incluían agujeros en la seguridad, por lo que sería necesaria una instalación muy cuidadosa por parte de los administradores.

Tampoco hay que olvidar que cuando se lanza un parche es imposible lograr que todos los ordenadores corrijan el problema. Especialmente en aquellas empresas en las que falta personal, donde es más fácil echarle la culpa al informático que tener a una persona especializada que se encargue de estas tareas.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s