Las claves y nombres de usuarios de servicios digitales de una ciudad colombiana están en línea a la vista de cualquier persona
En Colombia no se necesita ser un hacker para vulnerar un activo digital del Estado.
Solo basta usar el sentido común y usar algunos trucos de Google para descubrir claves que aseguran el ambiente digital de una ciudad de 300 mil habitantes.
Una fuente anónima que se dedica a la seguridad informática compartió con MuchoHacker.lol un documento que está disponible de forma pública en Internet en donde se pueden leer todas las contraseñas y claves de todos los accesos a sistemas informáticos de una ciudad del norte de Colombia.
El documento se llama Acta de Entrega de Cargo y tiene como fecha el 23 de enero de 2018. Está alojado en un Share Point que usa la ciudad para manejar su documentación y tiene desde los usuarios de gestión de Internet hasta los servidores SQL Server desde donde seguramente gestionan toda la actividad de la ciudad.

Si bien el documento tiene fecha de 2018 y existe una posibilidad de que las claves y usuarios hayan sido cambiados también existe el riesgo de que no sea así y las claves de toda la ciudad estén en un PDF colgado en línea.
No se ha podido verificar si los nombres de usuario y contraseñas aún pertenecen a los servicios que usa la ciudad ya que para verificar su uso se puede cometer un delito.
Lo que sí es claro es que un documento con claves y contraseñas de todos los servicios informáticos de una ciudad probablemente nunca debió subirse a Internet y menos estar a la vista de cualquier persona que sepa usar Google.
Siga usted y haga lo que quiera
El documento muestra el nombre de usuario y contraseña de un servicio de la empresa Cisco desde el cual se gestiona la seguridad de dispositivos móviles de la ciudad. Igualmente está a la vista de todos la dirección Ip del Firewall cuyo usuario es “Admin” y la compleja clave que tiene es ‘12345678’

Por si fuera poco el documento contiene la clave del gestor de software de Office. Información claramente que no debería estar en línea ya que da acceso a servicios en la nube de la ciudad. Probablemente el Share Point donde se alojó este documento usa esta clave.
Tanto la clave del servidor que permite que la ciudad tenga una página web como el administrador del dominio están allí. Con estos dos datos se podría robar el dominio y además publicar cualquier información en la página web.
Todos los usuarios y contraseñas de la base de datos de Oracle respecto a la información financiera del municipio están en línea.

Como si fuera poco está el usuario y contraseña de dos perfiles del Secop del Municipio. Con esta información se podrían perfectamente modificar pliegos de licitaciones sin que nadie se dé cuenta.

Probablemente en una ciudad donde exista una cultura de seguridad mínima ese documento jamás debió escanearse y mucho menos subirse a un repositorio público.
Encontrarlo solo demuestra la baja cultura de seguridad y el importaculismo de funcionarios que no son capaces de entender las consecuencias de sus actos. El documento finaliza con la información técnica de servidores y dispositivos que usa la ciudad.
Google Dork
Llegar a la documentación como la expuesta anteriormente no requiere un alto conocimiento técnico. De hecho es una técnica de Investigación de fuentes abiertas donde se utilizan ciertos operadores de Google para ubicar la información.
Existen un sin número de manuales en línea para hacer Google Dork donde se utiliza operadores como Filetype, Allintitle, Inurl, entre otros para rastrear documentación como esta acta de entrega.
Fácilmente se podrían rastrear “actas de entregas” de “oficina de informática” en formato “pdf”.
Me cuentan si alguien por ahí ve más documentos de este estilo.