'Tardé dos minutos en encontrar el nombre de usuario y la contraseña, usando simplemente mi navegador', explica David A. Pérez, experto en seguridad, quien entró en la página de La Moncloa, al día siguiente de modernizarla. El nuevo servidor de La Moncloa estaba mal configurado, lo que permitía bajarse el código VBScript, en el que había suficiente información para entrar en la base de datos y, 'por ejemplo, modificar los discursos de Aznar', explica Pérez.
Pérez avisó a La Moncloa del fallo, que posteriormente comprobó Ciberp@ís: 'Una vez tenemos el código empieza la investigación, analizando la información y cómo nos podemos aprovechar de ella. Aquí me paré, pero cuando hay errores como éstos es casi seguro que se puede llegar muy lejos'.
MÁS INFORMACIÓN
Pérez publicó el descubrimiento en su web el 27 de noviembre y, al día siguiente, se cerró el agujero. Su curiosidad por La Moncloa formaba parte de una investigación personal sobre la validación que hacen los grandes sitios con contenido dinámico de los datos que introducen los usuarios, como forma de acceder a información sensible. En el 97% de los casos esta validación no existe.
* Este artículo apareció en la edición impresa del Miércoles, 5 de diciembre de 2001