La Generalitat de Cataluña ha sufrido una vulnerabilidad informática en al menos tres de sus páginas webs. Al menos 5.000 registros con direcciones de correos electrónicos y contraseñas han estado al descubierto por un fallo de seguridad de tipo SQL Injection, vulnerabilidad que explicaremos más adelante. El servicio de TI de la Generalitat mantiene abierta una investigación para detectar si ha habido robo de datos.
El problema fue detectado la semana pasada y ha sido confirmado por la Generalitat de Catalunya a Vozpópuli. Aunque se desconoce el tiempo exacto que los datos han estado expuestos, casi con toda seguridad lo han podido estar durante meses e incluso años. "Se ha procedido a despublicar todas las webs afectadas durante el jueves 19 de noviembre con el fin de corregir las vulnerabilidades. Ninguna de las webs reportadas figura como un sistema crítico y, por lo tanto, no contenían datos críticos o sensibles (datos personales, médicos, etcétera). Se ha abierto una investigación para determinar si ha habido o no una explotación de dicha vulnerabilidad que pudiera haber provocado una explotación de dichos datos por terceros. A fecha de hoy no podemos concluir si la existencia de dicha vulnerabilidad ha comportado un incidente de ciberseguridad o no", reconocen desde la Generalitat de Cataluña a este diario.
Una de las páginas afectadas es la del Departamento de Infraestructuras de la Generalitat de Catalunya (login.regsega.cat). Además, lo ha estado también la web de servicios territoriales del Departamento de Educación catalán (https://aplicacions.ensenyament.gencat.cat/e13_bor/editLoginGeco.do) y otro sitio del Departamento de Cultura (http://culturaeducacio.gencat.cat/).
Las vulnerabilidades fueron descubiertas por el experto en ciberseguridad y bug hunter -cazador de bugs- Touseef Gul. "Hablamos de un código insertado en las webs mencionadas que estaba desactualizado. Esto podría permitir a un tercero inyectar otras líneas de código para tomar el control de determinadas partes de las páginas webs", explica Touseef Gul.
Se trata de un problema calcado al que hace unas semanas afectó a Vueling, compañía aérea de bajo coste integrada en el grupo británico IAG, del cual forma parte Iberia. Esta vulnerabilidad, publicada en exclusiva por este diario, también dejó al descubierto los datos de miles de usuarios.
Vulnerabilidad SQL Injection
"Un ataque de inyección SQL se produce en la mayoría de los casos como consecuencia del desarrollo de aplicaciones web y/o móviles sin tener en cuenta las medidas de seguridad necesarias, lo que permite que un usuario pueda introducir parámetros sin un adecuado control y seguridad en una consulta SQL (típicamente en un formulario web, por ejemplo, aunque hay otros escenarios posibles). El caso más frecuente de ataque es el que nos encontramos en ciertas páginas web que muestran formularios y/o campos a rellenar por el usuario de la página", declara Miguel López, director general de Barracuda Networks en Iberia, empresa dedicada a ofrecer productos de ciberseguridad.
Desde la empresa norteamericana apuntan además que "si la aplicación no valida y restringe de manera efectiva los términos que es posible introducir en el formulario, el atacante puede validar parámetros en los campos que fuercen a la BBDD (base de datos) SQL (u otras), ejecutadas tras la página web, a comportarse de forma peligrosa, dejando de responder y por tanto 'colgando' la página, devolviendo resultados de búsqueda con información confidencial que no debería mostrarse, borrando o alterando datos de la BBDD, o causando otros problemas".
Dónde van a parar los datos robados
Cuando se produce el robo de datos como passwords o correos electrónicos, generalmente estos van a parar a los 'mercados negros' de Internet, donde son puestos a la venta. En función de la sensibilidad de los datos robados, estos tienen un precio u otro. Algunos de los más cotizados son los relacionados con información bancaria o de tarjetas de crédito.
El INCIBE (Instituto Nacional de Ciberseguridad) da más claves acerca de la venta de datos. "Se pueden vender en el mercado negro como parte de enormes bases de datos de correos electrónicos (previamente verificados) para el envío de correos no deseados, el spam".