martes, 8 de febrero de 2011

Tuentiseñas

Aprovechando que hoy parece ser que es el el Día Internacional de la Internet Segura y que ayer mi colega Felipe inauguró su blog con un post sobre un caso de phising a Tuenti, he decidido hacer una pequeña reflexión sobre hasta qué punto eso supone una amenaza especialmente peligrosa en la red social favorita de los prepúberes hormonados.

Las redes sociales son en sí mismas un acto de exhibicionismo, más o menos público en función del nivel de privacidad que el usuario configure y/o que la red le permita. Esto se acentúa en Tuenti, donde buena parte de los usuarios se sitúan en una franja de edad que va de los catorce (y posiblemente menos, aunque la LOPD diga que eso no debería poder ser) hasta los veintipocos. Los gurús dospuntoceristas y la prensa en general nos vende la moto de que los adolescentes de hoy son nativos digitales con una especie de talento natural para tratar con las nuevas tecnologías. El caso que paso a relatar debería hacer que nos los pensemos dos veces antes de volver a dar por buena esa afirmación sin más.

La base del último ataque de phishing a Tuenti es tan ridícula que cuesta creer que nadie haya picado. Se pedía a los chavales que pegasen en veinte lugares diferentes de la red social como muros o eventos un texto que decía:

¡¡¡Ya puedo ver quién me visita entrando aquí: tuentimisvisitas.tk sólo se tarda 30 segundos!!!

Parece increíble que nadie se crea que por pegar un texto en veinte lugares diferentes se vaya a desbloquear mágicamente una funcionalidad que los desarrolladores se niegan sistemáticamente a implementar ya que, no nos engañemos, el fin último de estos lugares es el cotilleo anónimo. Pero se lo creyeron muchos, vaya si se lo creyeron. Y como cada uno de esos pobres incautos cumplió con su parte de darle bombo a la martingala el asunto enseguida se convirtió en viral.

Después de eso nuestros nativos digitales llegaban al último paso, que consistía en rellenar un simple formulario con su correo electrónico y su contraseña...

¿Podrán ver por fin los chavales quiénes han curioseado sus perfiles? El mundo es un lugar cruel e injusto, así que no.

Pero, ¿dónde van a parar las contraseñas introducidas en el supuesto formulario de entrada? Resulta que el mundo no es sólo cruel e injusto, sino que además es retorcidamente cabrón.

Las contraseñas son almacenadas en un directorio dentro del servidor, cada una de ellas dentro de un fichero que lleva por nombre su dirección de correo electrónico. Nota curiosa, más del 90% de esas direcciones son de Hotmail. Pero no hagamos sangre.

Es en este momento cuando nos ponemos nuestro sombrero gris favorito y empezamos a investigar un poco. Lo primero, como diría el bueno de Mark Zuckerberg en La red social, es utilizar el poderoso Wget para bajarnos todos esos pequeños ficheros a nuestro disco duro y poder trabajar cómodamente con ellos. A continuación hay que llevar a cabo una pequeña tarea de limpieza para eliminar los merecidos insultos que han dedicado al creador de la página quienes se dieron cuenta del engaño y las direcciones de correo malformadas por errores de tecleo. También hay que eliminar los graciosos intentos de más de uno que escuchó campanas, aunque no supo bien desde dónde, de intentar colar una inyección SQL a un formulario que no atacaba contra ninguna base de datos.

Ya con todo limpiado nos quedamos con unos mil ficheros, momento en el que invocamos a los geniales cat, cut y grep para hacernos un scriptillo de BASH facilote que nos filtre un poco los resultados.

El script se limita a generar un único fichero de texto en el que almacenar todos los pares correo/contraseña y a buscar patrones de datos personales sensibles como son el número de teléfono o el DNI.

¿El resultado? Francamente inquietante. Más del 5% de las contraseñas utilizadas tenían toda la pinta de ser números de teléfono. Lo cual es especialmente preocupante en una red centrada en un rango de edad en el que palabros como grooming o ciberacoso empiezan a estar de moda.

Una vez finalizado nuestro pequeño estudio hacemos un borrado seguro de los datos utilizados y colgamos el sombrero gris de nuestro perchero favorito hasta una próxima ocasión.

La página maliciosa ha sido reportada como phising y actualmente ya no está disponible.

Que nadie se lleve las manos a la cabeza y empiece a culpar a Tuenti de este incidente. Evidentemente ellos no tienen la culpa de que sus usuarios hayan caído en un engaño tan burdo. Pero también es cierto que sería un buen ejercicio de responsabilidad corporativa establecer políticas de contraseñas más duras que tengan el cuenta el particular perfil demográfico de sus usuarios. Unos sencillos controles, por ejemplo, para impedir que nadie ponga como clave de acceso algo que se parezca a un número de teléfono.

Pero esto no atañe únicamente a Tuenti. También como sociedad deberíamos de dejar de adjudicar a los adolescentes una pericia técnica innata de la que en realidad carecen y empezar a introducir en las escuelas los conceptos más básicos de seguridad y privacidad online. De la misma manera que se enseña a mirar a ambos lados antes de cruzar la calle o a no aceptar caramelos de desconocidos. A fin de cuentas no son cosas tan diferentes.

Si no, luego vienen los disgustos.