SEGURIDAD

Fallos en un cortafuegos anunciado como 'inhackeable'

Les llevó sólo una mañana romper el aparato. Dos analistas informáticos de Barcelona encontraron fallos irreversibles en AlphaShield, cortafuegos para líneas ADSL, "100% inhackeable o le devolvemos su dinero", según su publicidad. El verano pasado, la empresa canadiense que lo fabrica convocó un concurso, donde ofrecía un millón de dólares a quien encontrase algún fallo de forma remota.

Hugo Vázquez y Toni Cortés descubrieron que AlphaShield era vulnerable a diversos ataques que permiten a un instruso saltarse las barreras del cortafuegos sin mucho esfuerzo, mediante la inyección de tráfico fraudulento. "El fallo no tiene solución, porque no es de software sino de diseño", afirma Hugo Vázquez.

Más información

Aunque el aviso ha aparecido en populares sitios de seguridad como Bugtraq o The Register, la empresa sigue haciendo publicidad del aparato en su web como "inhackeable" y ganador de diversos premios. La empresa asegura en una nota de prensa que el procedimiento para dar con el fallo no ha sido correcto, ya que no se basa en un escenario real.

Hugo Vázquez se defiende: "No se trata de evaluar cuan difícil de explotar es la vulnerabilidad, sino de determinar si realmente existe. Y existe".

Vázquez recuerda que la empresa canadiense presentaba su aparato como la solución mágica a las conexiones ADSL para usuarios caseros.

"Se preparaban", añade, "para realizar un concurso este verano, de un millón de dólares, iba a ser El Concurso, aunque nadie sabe si se celebró. Entonces, pedimos una unidad de prueba a Canadá. Nos la enviaron con los chips tapados con esmalte negro, para que no viéramos cuáles eran. Patético. Lo venden a unas 10 veces por encima del precio de coste del producto". El aparato, según Váquez, "debería realizar un seguimiento de las conexiones que realiza el usuario al que protege. Si visita una página web, debería identificar el tráfico legítimo entre el servidor y el cliente y permitir sólo éste. Pero el seguimiento no se produce y un atacante puede inyectar tráfico no autorizado, comprometiendo así la comunicación. También dice que protege de troyanos, pero no de los que se conectan desde dentro. Tardamos menos de dos horas en ver el problema".

No es ésta la primera vez que un producto probado en un concurso, fraudulento o no, acaba con fallos al descubierto. El criptólogo Bruce Schneier avisó en su momento de que "una tecnología no es necesariamente segura por que nadie la haya vencido durante una competición de hacking".

Tu suscripción se está usando en otro dispositivo

¿Quieres añadir otro usuario a tu suscripción?

Añadir usuario Continuar leyendo aquí

Si continúas leyendo en este dispositivo, no se podrá leer en el otro.

¿Por qué estás viendo esto?

Flecha

Tu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.

¿Tienes una suscripción de empresa? Accede aquí para contratar más cuentas.

En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.