'El servidor web del Ministerio de Agricultura goza de mejor protección que el de Ciencia y Tecnología', se queja Tahum, un hacker que acaba de descubrir ahí el enésimo agujero de seguridad: un fallo de configuración del servidor que permite a un intruso navegar por la base de datos, ejecutar programas y cambiar la información expuesta al público, como leyes, subvenciones, notas de prensa, discursos, estadísticas y agendas.
'El fallo no permite una entrada automática al sistema, no es un problema de gravedad, un hack plug & play, para decirlo de algún modo. Quien pueda ver el agujero navegará por ciertos directorios que deberían estar protegidos, pero para poder inyectar información a las bases de datos no basta con eso. Aun así, serviría para causar confusión y extraer información, el primer paso en la metodología de intrusión', avisa Tahum.
MÁS INFORMACIÓN
El experto se declara sorprendido por que en el Ministerio de Ciencia y Tecnología 'no sepan administrar un Internet Information Server (IIS) 5.0, servidor web sencillo de usar donde los haya'. 'Me pareció curioso', añade, 'especialmente después de las palabras de la ex ministra acerca de la LSSI, publicadas en esta misma web: 'Birulés ha afirmado que la norma pretende dotar de confianza, seguridad y certidumbre al entorno telemático y digital, protegiendo a los usuarios y fomentando la prestación de servicios electrónicos'. Esto... ¿A quién quieren proteger? Miedo me dan'.
Camino atípico
Tahum ha seguido un camino atípico para hacer público el fallo: 'He descartado avisar a los responsables, ya que no es la primera vez que hechos así se han de comunicar a través de una dirección de contacto mal atendida. Si lo hago, no contestarán, lo arreglarán y en tres meses veremos otro agujero mayor. Si hago un documento explicativo a las listas serias de seguridad, nadie aprenderá ya que es un agujero conocido por el administrador más novato. Pero quizá si se publica en algún medio que quienes quieren controlar Internet no tienen siquiera una infraestructura sólida, se puedan sacar conclusiones'.
Meses atrás, el experto descubría otro agujero en la web del mismo ministerio, también por mala configuración básica del servidor, que usa el sistema operativo Windows 2000: 'No hubo respuesta, pero se solventó'.
* Este artículo apareció en la edición impresa del Jueves, 8 de agosto de 2002