Quiénes son los estudiantes de ingeniería que encuentran fallas en sitios de la UTU, Cancillería y del aeropuerto

Se muestran preocupados. Y buscan demostrar que las autoridades no están preparadas, ni concientizadas, para hacer programas informáticos seguros.

Algunos se interesaron por el mundo de la seguridad informática desde cuando iban al liceo. Al principio, parecía un juego. Damián Sire (22) recuerda que le apagaba la computadora a su compañero. No lo hacía presionando el botón físico, sino digitando unos códigos y haciéndolo a distancia. Era algo divertido.

Santiago Díaz (20) más de una vez se sintió tentado de cambiar las credenciales de wifi, ya que detectó una forma sencilla para hacerlo. Lo detuvo el temor a las consecuencias.

Cuando crecieron, estos estudiantes siguieron detectando problemas en la seguridad informática de instituciones. Y las del Estado no fueron la excepción.

Damián reportó la semana pasada una falla en el sitio web de la Biblioteca de la Universidad de la República. En una investigación con Santiago Díaz (20), encontraron que muchísimos usuarios la desconocían y que se podía acceder solo poniendo la cédula en los campos de usuario y contraseña. Una vez dentro del perfil, se podía acceder a datos personales de los usuarios, como nombre completo, dirección de residencia, celular, correo electrónico, entre otros datos. Tras darlo a conocer en las redes sociales, y reportarlo al Servicio Central de Informática de la Udelar, la web fue dada de baja. 

Luego, la Udelar divulgó un comunicado en el que dijo que se puso a trabajar “para la reasignación masiva de contraseñas incluyendo nuevos protocolos”.

El caso de Ezequiel Pereira: hackeo a la UTU ¡y a Google!

Tiene 20 años y es, tal vez, el joven uruguayo más calificado en el mundo de la seguridad informática. Tiene credenciales que avalan esta afirmación.

Su historia comenzó en 2015 cuando tenía 15 años. Estudiaba en UTU y lo suspendieron durante un mes por adulterar el sitio web principal de esa institución (utu.edu.uy).

“Cambiábamos la página principal por mensajes que decían ‘la seguridad está horrible’”, relató a Cromo. De hecho, junto a otros compañeros pudieron ingresar en un correo electrónico institucional. Como lo hizo sin permiso, lo sancionaron durante un mes y también lo obligaron a hacer tareas comunitarias.  “Igual no me afectó en nada. Me perdí un par de escritos”, indicó.

También detectó anomalías en otras partes del sitio web. Los adscriptos, quienes tienen entre sus potestades subir las notas de los alumnos, son los que tienen permisos para acceder a determinados estamentos del portal. El problema es que los usuarios y contraseñas por defecto de muchos de ellos eran cédulas. Y, como suele suceder por falta de conciencia, hay quienes no realizan el cambio de contraseña. Esto puede ser aprovechado por cibercriminales, o por estudiantes con conocimientos básicos de seguridad informática, para cometer actos ilícitos.

“Conozco gente que aprovechaba para ver la nota de sus compañeros o de sí mismos. Sé que en un caso, uno cambió el resultado del examen para que apareciese como aprobado. Estoy seguro de que si lo reporto no van a hacer mucho”, aseguró Ezequiel.

Su interés en detectar errores no cesó. Y siempre aspiró a formarse y detectar más problemas de seguridad informática. Siempre con un objetivo ético: solucionarlos y evitar que ciberdelincuentes aprovechen esa vulnerabilidad. De hecho, fue premiado con US$ 36 mil por Google por haber encontrado una falla que le permitía acceder de forma remota a una aplicación que era solo para empleados de la empresa. Ezequiel se acogió a un programa del gigante informático que fomenta el hallazgo de errores y da dinero a cambio. Su afición de conocer más y más lo va a llevar a Suiza. Realizará una pasantía en una de las empresas tecnológicas más valoradas del mundo y sueña con ingresar a trabajar formalmente en ella.

Ezequiel logró acceder a la lista de cédulas de casi todos los uruguayos, tal como informó Cromo. Al principio lo reportó como vulnerabilidad informática, pero el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy) no lo interpretó como tal.

Los agujeros de la Cancillería y del aeropuerto

Mauricio Genta (24) ha trabajado en seguridad informática. Su interés en el tema lo llevó a analizar qué tan seguras son las webs del Estado. 

Uno de los sitios a los que ingresó fue al del Ministerio de Relaciones Exteriores. Existe una plataforma, llamada Sistema de Diálogo y Consulta, que fue creada por la Cancillería para favorecer el diálogo entre el organismo y algunas oenegés sobre la vida ciudadana. En esa herramienta detectaron un agujero informático que les permitía conocer usuarios, nombres completos, números de cédula y alias de registro.

“El reporte lo elevamos a un conocido del ministerio. Hace poco estuve verificando si algunas de estas fallas continuaban, pero varias de ellas ya no”, comentó Genta.

No fue el único sitio de Cancillería en el que encontraron fallas. En otro, que contiene una base de datos de los acuerdos internacionales suscritos por Uruguay, hallaron usuarios y contraseñas. Tras reportarlo, el ministerio lo arregló.

Las vulnerabilidades alcanzaron hasta el Aeropuerto de Carrasco, que, aunque no es gestionado por el Estado, a Mauricio le interesó investigarlo. Hace un año, encontró una falla en su página web. El sitio tiene un sistema de notificaciones en el que el usuario, luego de registrarse en el sistema con su correo electrónico, recibe alertas sobre cambios en los vuelos que desea seguir. “La falla que encontré es que se podría anular el sistema de alerta y que el usuario no reciba la alerta”, comentó. Esto puede representar un problema para empresas de remises o taxis.

Los problemas también han afectado a colegios privados. La plataforma de uno de ellos no tenía límites para probar contraseñas (este es un requisito indispensable en cualquier sitio web de hoy). “Aplicamos un método llamado fuerza bruta, a través del cual pudimos acceder a cédulas de todos los docentes y sacar nombres completos de muchos de ellos”, comentó. 

Al principio reportaba estos incidentes a las organizaciones, pero como no tienen demasiado interés en solucionar estos problemas, los reporta al Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CertUy). “Lo que sucede es que no tienen más potestad que notificar al afectado”, comentó.

Falta más conciencia

Esta experiencia demuestra que en Uruguay no interesa tanto la seguridad informática. 

“El problema es que la mayoría de la gente que gobierna es gente con edad, que no sabe mucho de tecnología”, comentó Ezequiel Pereira. Los que quieren crear un sitio web piensan en “cuánto es lo mínimo que tienen que pagar para que ande, pero no piensan en la seguridad informática”, comentó.

Mauricio Genta cree que en Uruguay se encuentran fallas con “bastante facilidad” y eso demuestra que hay “poca noción en general” sobre este tema.

La empresa de seguridad informática Datasec encargó una encuesta al Grupo Radar para conocer qué tan concientizados están las empresas uruguayas sobre este aspecto. El 39% aseguró estar “nada” preparado y el 12% “no sabe” si su empresa está preparada para enfrentar incidentes de ciberseguridad. Solo el 27% manifestó encontrarse “parcialmente” prevenido . El 22% manifestó estarlo “completamente”.