Así pudo explotar el cibercrimen el fallo de seguridad detectado por Telemadrid en la Sanidad madrileña

«(De acuerdo con la información de Telemadrid) en este caso necesitabas un proxy para interceptar las peticiones de la página y manipularlas para sustituir tu DNI por el de otra persona y, de esta forma, acceder a los datos de otros usuarios sin tener autorización para ello. El proxy, básicamente, es un programa que tú metes entre tu ordenador y el sitio web para manipular las peticiones que tu propio navegador hace y automatizarlo», explica en conversación con este diario el 'hacker' ético Deepak Daswani.

El experto explica que vulnerabilidades como la que, supuestamente, sufrió ayer el servidor de la Sanidad madrileña -y que habría sido solucionada en la tarde del mismo día- son muy habituales . Asimismo destaca que un programa proxy se puede utilizar «de forma sencilla y que no requiere muchos conocimientos». Aunque, evidentemente, eso no implica que cualquier usuario corriente de Internet hubiese podido explotar la brecha : «Evidentemente, algo tienes que saber para explotar esta vulnerabilidad. Debes tener, como mínimo, unos conocimientos básicos de 'hacking' y saber cómo funcionan las aplicaciones web. No requiere mucha complejidad, pero sí unas bases y cierta pericia».

A pesar de que para acceder a los datos de una persona a través de esta vulnerabilidad, de acuerdo con Telemadrid, era necesario contar con su DNI, el fallo podría haber sido explotado fácilmente para recopilar información sobre miles de ciudadanos mediante el empleo de una herramienta que genere varias combinaciones de los ocho dígitos y la letra que componen un número de identificación. De esta forma, se podría forzar el servidor para sacar información de muchos ciudadanos sin necesidad de conocer su DNI exacto . «Un DNI solo puede tener una letra, pero se puede calcular. Puedes generar todas las combinaciones para ocho dígitos y poner la letra para localizar los DNI que están y los que no en el sitio. A partir de ahí puedes sacar muchos datos», explica Daswani.

Por su parte, Josep Albors, jefe de investigación y concienciación de la empresa de ciberseguridad ESET, destaca que hay algunos sitios que impiden acceder a los datos cuando introduces información, como sería un DNI, de forma aleatoria . «Hay casos en los que introduces un código aleatorio y la página puede que no te devuelva ningún valor. Luego hay casos en los que se puede mostrar un error o una alerta y te bloquean, y otros en los que no pasa nada y te deja seguir probando combinaciones. Si te deja hacer pruebas infinitas puedes seguir escarbando a ver qué sale», señala el experto.

Sea como fuere, la información recopilada a través de vulnerabilidades de este tipo puede ser empleada por cibercriminales para el desarrollo de ciberestafas más dirigidas y creíbles . Y es que, al final, no es lo mismo que te llegue un correo, supuestamente, de tu banco en el que simplemente se afirma que te van a cerrar la cuenta, que si esa comunicación va acompañada por tu nombre completo y DNI entre otros datos. «Con los datos recopilados a través de brechas de este tipo se pueden diseñar ataques de ingeniería social más dirigidos», explica Daswani.