lulzsec (http://lulzsecurity.com) es una de las palabras más buscadas actualmente a través de Internet. Detrás se encuentra el grupo responsable de los últimos incidentes de seguridad entre los que destacan el ataque a las páginas Web de Sony Pictures, Nintendo, PBS, Infragard, Pron.com, etc. En la siguiente captura de pantalla de los últimos 30 días, se puede observar la evolución y con qué palabras clave se ha buscado información relativa a lulzsec a través de Google:

Fig 1. Resultado de las estadísticas de Google (http://www.google.com/insights/search/#q=LulzSec&date=today%207-d&cmpt=q)

Tanto la página Web del equipo como su twitter (http://twitter.com/#!/LulzSec) echan humo debido a los recientes comentarios acerca de diferentes vulnerabilidades en Webs de gobiernos de todo el mundo, a su reto lanzado contra el FBI y la mismísima OTAN o la Reserva Federal norteamericana.

El primero en caer ha sido el sistema informático del Senado de EEUU (senate.gov) que ya ha confirmado una intrusión en su red informática que no compromete la seguridad de sus miembros ni su personal, o eso dicen. Desde http://lulzsecurity.com/releases/senate.gov.txt se han publicado diferentes capturas de pantalla con el resultado de comandos como "df -h" para ver el almacenamiento del servidor, "last" para comprobar las últimas conexiones que se han hecho al sistema, el fichero de configuración del servidor Web Apache que reside en la máquina, navegación por el sistema de ficheros, etc.

La semana pasada, independientemente de lulzsec, en España se asistió a la publicación de los datos de más de 20mil usuarios de la Web de formación online de Inteco. Es suficiente consultar el histórico de Zone-h para comprobar la cantidad de incidentes de seguridad acaecidos únicamente a nivel Web en diferentes páginas gubernamentales del país:

Fig 2. Resultado de buscar la palabra Psoe en el archivo de Zone-H (http://www.zone-h.org/archive)

Inteco, organismo dependiente de Red.es y, por lo tanto, del Ministerio de Industria, Comercio y Turismo, tiene entre sus principales líneas de actuación promocionar los servicios de Seguridad en la Sociedad de la Información. Desde Inteco, en todo momento se ha optado por la transparencia en todo lo relacionado con el ataque.

Sin embargo, en este panorama de agresiones a la seguridad en la sociedad de la información, es inevitable reflexionar sobre que, en realidad, algunos de los ataques que se han producido en la actualidad podrían haberse evitado sin demasiada complicación. El problema es que se tienen demasiados descuidos del administrador de turno, demasiados errores a la hora de programar cualquier aplicación Web, demasiado desconocimiento en materia de seguridad, demasiado primar más la funcionalidad y la accesibilidad que la protección de los datos y la información existentes, demasiado "personal precario" administrando lo que no debería administrar (hoy en día la empresa opta por contratar personal poco formado y económico en detrimento de la experiencia y el conocimiento), etc. En resumen, que una simple búsqueda en Google de ficheros con los operadores para encontrar extensiones SQL (.sql) acotada para el dominio .gov proporciona resultados sorprendentes. Y así seguirá siendo hasta que el mundo se mentalice de la importancia de una correcta política de seguridad a la hora de proteger los datos de las tecnologías de la información. Aunque esta protección tenga un coste, a la larga siempre saldrá más barato que el desprestigio, la pérdida de confianza y la violación de confidencialidad.

Cabe recordar que .gov es un dominio de nivel superior empleado exclusivamente por el gobierno federal de los Estados Unidos y que los archivos con extensión .sql corresponden a peticiones en modo texto a una base de datos SQL. La petición de búsqueda en Google es la siguiente:

Fig 3. Búsqueda de Google de ficheros con la extensión .sql

Todos estos archivos están indexados en Google porque en algún momento, casi siempre por descuido del administrador del sitio, se pudo enumerar el directorio donde reside el fichero .sql.

Habrá que estar atentos a próximos capítulos de esta historia que está resultando de lo más curiosa.