jueves, 4 de enero de 2018

Por qué las cosas se hacen mal desde un inicio: ANTEL y la seguridad del usuario comprometida.

                                                         (P) Hugo Napoli, 2018                                                         

Miles de veces me he hecho la misma pregunta.
¿Por qué la enorme mayoría de nuestras grandes empresas -ya sean éstas públicas, privadas o híbridas-, no logran acabar un proyecto siguiendo rigurosas etapas de prolijidad en el trayecto?
¿No hay método de trabajo?
¿Existen demasiados mandos medios técnicamente incompetentes ocupando cargos de confianza?
¿Será un síndrome de irresponsabilidad social lo que las tiñe, o tal vez la viveza criolla mal explotada y mal entendida?
Me refiero a ANTEL, pero también a CETP-UTU (investigue, si lo desea, el juicio que la empresa está afrontando debido a la pésima administración de su página web en cuanto a la inseguridad que la empapaba: la página fue hackeada en más de una oportunidad y UTU ni siquiera protegía los datos más sensibles o importantes que allí alojaba), al Plan Ceibal y sus modos de acceso a Internet y a las cuentas de usuario de los docentes en Uruguay, las cuales se efectúan mediante... los mismos criterios de ANTEL (vea los 5 puntos que he citado más abajo en cuanto a la seguridad de las cuentas de usuario con contraseña, salvo que en lugar de "user/user", las mismas son el número de cédula de identidad para ambos casos), etc.

Hace más de 1 año, hice un reclamo telefónico en ANTEL (nuestra empresa pública de comunicaciones y telefonía), porque logré ingresar al enrutador (router) de mi vecina (que es el que le brinda conectividad al mío), tan solo ingresando en un navegador de mi trabajo la dirección IP que el mismo mostraba dentro del menú "Interfaz de red", subsección "Conexión WAN".

¿Cómo hice? Muy simple.
Antes de irme a trabajar, accedí al enrutador desde mi casa, mediante la dirección IP más tradicional (192.168.1.1), y allí me di cuenta que algo no estaba bien: en el campo "Nombre de usuario", aparecía la palabra "user", y en "contraseña", 4 puntos negros, como indicativo de que allí ya había una contraseña por defecto y que solo había que pulsar "Enter" para ingresar.



En primer lugar, en Informática, es bien sabido que tanto los nombres de usuario como mucho más las contraseñas...

  • ...no deben ser las mismas (por ejemplo "user/user"),
  • ...no deben poseer menos de 8 dígitos,
  • ...deben incluir al menos 1 número, 1 letra minúscula, 1 letra mayúscula y 1 símbolo (ejemplo: U&u4r10An73l),
  • ...tienen que ser únicas para cada dispositivo,
  • ...no deben ser "palabras de diccionario", sin importar en qué idioma estemos hablando,
  • ...no deben aparecer, jamás de los jamases, "por defecto" en una pantalla de inicio de sesión.

Entonces, pregunto... ¿por qué, si cualquier técnico en redes o máquinas, paga con su propio trabajo o esfuerzo al saltearse estas reglas que están en la tapa del libro de la seguridad en informática, ANTEL da este pavoroso ejemplo de ineptitud? ¿No sucede nada, todo es válido solo porque es ANTEL?

La respuesta ante mi reclamo, fue de lo más esperable, algo así como "sí, entiendo su reclamo... Como Ud. ya me ha dicho, se necesita primeramente acceder al router para descubrir la dirección IP que le da acceso al mismo... De modo que es casi imposible que alguien ingrese por esa vía (pero no imposible, y justamente en esto se basa el hacking), sin conocer la dirección exacta.".

Realmente, mientras escuchaba al funcionario, quedaba pasmado. No sabía si decirle "pero, ¿y si alguien empieza a rastrear 'al barrer', poniendo direcciones IP dentro del rango de ANTEL, que por lo que he visto es '167.60.X.X' y da con algún enrutador?", a lo cual, el funcionario seguía hablando y me explicaba que "como yo ya debía saber", ANTEL cambia todo el tiempo las direcciones IP, puesto que no son estáticas, es decir que en el momento en que hice la prueba, esta era 167.60.69.203, pero el momento de escribir este artículo, ya no lo es, porque cada (máximo) 12 horas, ANTEL renueva las direcciones IP de sus usuarios.

Iba a enviarle a ANTEL, por correo electrónico, algunas capturas de pantalla que yo mismo tomé para documentar el problema, pero como el funcionario seguía admitiendo que ellos ya sabían eso, y que ese método estaba basado, más que nada, en un tema de sencillez al brindar soporte técnico remoto, el método utilizado era ese "y bueno...".

Aún hay más.

Uno podría suponer que solamente se puede acceder en "modo lectura", es decir, que se pueden ver los datos (cosa que ya es algo desastroso), pero que no se pueden modificar... ¿no?
Y, que si bien tal vez se pudiera llegar a modificar algo, eso no sería de vital importancia como para dejar sin conexión a Internet a una familia entera por un capricho de una persona que solamente está jugando con las herramientas que alguien (en este caso ANTEL) le puso a disposición, ¿verdad? 

Pues bien, nada más lejos de la realidad que eso.
Hice pruebas, logrando documentar lo siguiente:


1. Se puede reiniciar el dispositivo, interrumpiendo la conexión por unos segundos, lo mínimo como para cancelar una descarga que se esté realizando, o cortar una película en línea, dejar a varias máquinas con problemas de conectividad -especialmente en Windows- hasta reiniciar cada uno de los equipos, y también...

2. recuperar sus valores por defecto, lo cual, no sabemos exactamente en qué condiciones lógicas dejaría al aparato.


3. Se puede interrumpir el funcionamiento del protocolo "IPv6", el cual, hasta que no fuese rehabilitado "a mano", dejaría de funcionar. ¿En qué afecta esto? En que las máquinas o sencillamente nodos de red que lo necesiten para comunicarse con internet, dejarían de hacerlo, ya que no "sabrían hablar el idioma" IPv4, que es el que se está dejando de utilizar, pero que aún funciona para la mayoría de los dispositivos.


4. No hice la prueba, pero... ¿se puede cambiar la contraseña? Obsérvese cómo los campos no están bloqueados contra escritura... ¿Qué sucedería si alguien accede al router remotamente, como acabo de explicar, y solamente cambia los datos de conectividad de ANTEL y luego el usuario y la contraseña del router? Esa familia no se podría conectar a Internet hasta hacer el reclamo a ANTEL y obtener ayuda de dicha empresa, ya fuere remota o presencial, lo cual, extendería más el plazo de la solución del problema.


5. Se puede reconfigurar toda la conexión, tanto inalámbrica como cableada, vulnerabilizando o inhabilitando estos métodos de conexión (la información en los campos "SSID Nombre" y "WPAContraseña" se ha ocultado a propósito).


6. Se podría borrar la información, desmontar, obtener información privada del usuario, y hacer tareas por el estilo con el dispositivo USB que estuviese conectado al router para compartir información, si fuese el caso.

Podremos no cambiar las cosas, pero lo que sí podemos hacer, es informarnos.

Un saludo, querida lectora. Un saludo, querido lector.