2.800 participantes para 'hackear' una tienda virtual
Un ganador de 26 años y 2.800 participantes más, todos ansiosos por hacerse con la base de clientes de una tienda virtual ficticia. La semana pasada concluyó la segunda edición del concurso de hacking Boinas Negras, organizado por el Instituto Seguridad Internet. Camisetas, boinas, quesos y un jamón eran los premios. "El objetivo de este nuevo reto consiste en explotar vulnerabilidades en una tienda electrónica que soporta las funciones de compra habituales: búsqueda de productos, adición de productos al carrito, pago de la compra, autentificación de clientes, administración de los datos personales, etcétera". Era el Reto de Hacking Web, ideado por el experto en seguridad Gonzalo Álvarez Marañón. El ganador, Pere Planiol, sólo necesitó una semana para romper los sistemas de seguridad.
El reto constaba de cinco niveles, que debían superarse a partir del descubrimiento de una vulnerabilidad aprovechable, para robar tarjetas de crédito, hacer compras por valor de un euro, mirar lo que ha mirado alguien antes o, la última y más difícil, obtener una cuenta con acceso a la base de datos de clientes de la tienda.
Álvarez Marañón concibió las pruebas basándose "en agujeros detectados durante el curso de auditorías web a empresas. Algunos de estos errores son muy frecuentes en la inmensa mayoría de comercios, bancos y periódicos en red".
Resultó ganador Pere Planiol, de Santa Coloma de Farners, doctorando en Ingeniería Informática de la Universidad de Girona. Planiol, que concursó bajo el alias Cthulhugroup, asegura que lo hizo para pasarlo bien. "No buscaba premios ni trabajo de consultor; este tema me gusta bastante como pasatiempo. Creo que no se da suficiente importancia a la seguridad. Participé también el año pasado y he estado en otros, como Izhal o HackersLab".
Aunque la organización daba un mes para superar el reto, Cthulhugroup lo hizo en una semana. Dos días después entraba spinlock, seguido de Pinocho, vaijira y tayoken. "No era fácil, pero si estás puesto en el tema, los ataques contra una web son muy limitados, siguiendo las bases del concurso, que no permitía la fuerza bruta. Lo complejo era encontrar el fallo, más que aplicarlo. Las cuatro primeras pruebas se hacían en pocos días; pero, en la última, el agujero estaba muy escondido".
La clave del último nivel era un guiño de la organización: "La web identificaba el idioma de tu navegador, por tanto, había una comunicación con el navegador y podías meter datos tuyos, manipulando cabeceras e inyectando SQL. El problema era que, de unas 20 páginas que tenía la web, sólo funcionaba en una. Si probabas el fallo en una página y no iba, deducías incorrectamente que pasaba igual en todas. Por tanto, tenías que ir probando una a una".
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.