¿Se realizó un ataque a la página web de la Procuraduría?
Debate: algunos consideran que no. Por otro lado a quienes sostienen que explotar una vulnerabilidad demuestra fallas en el sistema.
El pasado 10 de noviembre circuló por todos los medios de comunicación del país y en mi blog un supuesto ataque a la página web de la Procuraduría.
Debido al contexto social de la ciudad de Bogotá la imagen de un defacement pronto se viralizó y llegó a los medios masivos. Casi todos publicaron.
Incluso la misma Procuraduría hizo un llamado a las personas que lo hicieran para que no repitieran la actividad.
Días posteriores, de un medio de comunicación,me preguntó en privado si realmente la página había sido sometida a un ataque.
Les expliqué que yo no había visto el defacement con mis ojos. La razón: fue tarde en la madrugada, pero les expliqué que sí había hecho seguimiento de personas que tomaron un print screen que daban cuenta del ataque.
Igualmente expliqué que en la mañana cuando entré a la página no estaba en funcionamiento. (En este blog nunca pregunto a la fuente atacada porque históricamente nunca me responden. Solo lo hacen con medios de comunicación masivos. Es perder el tiempo)
Posteriormente me explicaron que la Procuraduría afirmaba que nunca habían sido atacados. Pese al trino que ellos mismos publicaron donde pedían no más ataques.
Para entender este confuso hecho usuarios @4v4t4r y @florenciocano explican, desde sus posiciones, lo que pasó.
En el anterior post escribí que nunca había visto un ataque a la Procuraduría. No es cierto. Acá se demuestra que sí.
En fin, para entender este tema comenzaré con explicar qué significa un XSS. No sin antes mostrarles que todos podemos “hackear” la página web de la Procuraduría.
Según Colombian Hackers este fue un ataque denominado XSS. Lo primero que se debe entender es el término.
- Según PC Magzine: Cross Site Scripting hace referencia a que se ejecuta un código malicioso en un navegador. Igualmente a un tipo de vulneración que se puede encontrar en una página web.
- Según Wikipedia en inglés: Es un tipo de vulnerabilidad que se encuentra en las páginas o aplicaciones de Internet. Permite inyectar un código en ciertas páginas que cualquier otra persona puede ver.
- Según Veracode citado en Symantec: El XSS es uno de los ataques más comunes. Consiste en un código que se embebe en una página y que se visualiza en quien tenga la URL. “XSS es en si mismo una amenaza que se lleva acabo por las debilidades de seguridad en lenguajes como HTML y JavaScript”, afirma este portal. “Fallos ocasionados por el XSS puede traer graves consecuencias tales como robo de información privada”, concluye.
En conclusión, desde mi punto de vista, es claro que sí se realizó un ataque y existe una falla de seguridad en la página web de la Procuraduría. Así la institución pública no quiera aceptarlo.
Ahora bien, se debe precisar en aras del periodismo y de la verdad qué tipo de ataque fue.
Se entiende la indignidad de @4v4t4r quien califica de ignorantes a los medios de comunicación que califican como un simple “hackean página web de la Procuraduría”. Y tiene toda la razón. Incluso mi anterior post sobre el tema no es preciso.
En el caso de la Procuraduría en el contexto de Petro sí hubo un ataque en el cual se aprovechó una vulneración del código de la página. Probablemente un portal tan importante donde está información clave de miles de ciudadanos no debería tener este tipo de “huecos de seguridad”. Sin embargo, no se podría decir que por este XSS salió del aire el portal o fue un ataque de grandes magnitudes lleno de la indignidad de miles. Es decir, es un ataque menor.
Gracias a @4v4t4r y @florenciocano que expusieron sus ideas. Finalmente la entidad oficial debería agradecerle a Colombian Hackers que lograron identificar un error que ojalá se solucione.
Prueba.