Capitulo 1: El comienzo de mi final
“¿No han pensado nunca que si pudieran volver atrás en el tiempo a lo mejor no tomarían las mismas decisiones? Todos hacemos nuestras bolas de nieve con nuestras malas decisiones, bolas que se van haciendo gigantes, como la roca de Indiana Jones, y va persiguiéndote por la pendiente para aplastarte. Todas las decisiones que tomamos en el pasado nos llevan inexorablemente hacia el futuro.”
Un sábado de octubre del año 2014, cuando mi vida era aún hermosa y hoy me doy cuenta de que no la valoraba como hubiese debido, tome decisiones que me llevaron a ejecutar acciones que hoy me arrepiento. Fue en ese momento que dio inicio la historia más alocada, increíble y triste que me tocó vivir.
Estaba con mi novia en su apartamento y me pidió que visitara el sitio web de su proveedor de atención médica, una mutualista llamada “Círculo Católico”, para buscar información sobre los horarios de atención de un doctor. Ella me acababa de decir la URL y antes de que pudiera decirme sus credenciales de inicio de sesión, empecé a husmear en el sitio web.
La página de inicio de sesión tenía un captcha molesto y empecé a mirar el código fuente. ¡Rápidamente descubrí que todo lo que tenía que hacer para deshacerme de ese mecanismo de captcha era eliminar un parámetro en la URL del formulario de inicio de sesión, y bingo!
Las características de seguridad en el sitio web eran terribles. Descubrí que mediante el uso del “admin” como usuario y contraseña para el inicio de sesión podía no solo ingresar al sistema, sino que podía entrar en el sitio web con privilegios de administrador. ¡Era algo terrible!
Esto significaba que teóricamente podría haber accedido y alterado los registros de salud de los pacientes, añadido nuevos pacientes, profundizado en los informes financieros de la compañía y mucho más.
En literalmente 5 minutos envié un correo electrónico al CERT, cert@cert.uy, e informé del problema de seguridad, crítico a mi entender, un ROJO si tuviese que hacer un triage.
El número de seguimiento #10445 fue asignado a mi reporte.
En menos de dos horas, recibí una respuesta diciendo que habían verificado que tenía razón. La respuesta fue por parte del Director de Seguridad Informática de Presidencia de la República Oriental del Uruguay. Eso fue todo.
Me olvidé del sitio web y sus vulnerabilidades. Eso era problema de la institución médica.
En 2015, un año más tarde, visité otra vez ese sitio web y decidí comprobar si nuevamente había vulnerabilidades. ¿Y adivinen qué?
En 15 minutos pude acceder a todo tipo de información almacenada por el proveedor de atención médica. Simplemente modifiqué algunos parámetros de la URL. Era un escenario de Déja Vu.
Una vez más, en 5 minutos envié otro correo al CERT nacional y les informé del problema. Y de nuevo, lo olvidé después.
El número #15521 fue asignado para el seguimiento a mi reporte.
Lo que hice fue por curiosidad profesional. Soy un profesional certificado en ciberseguridad después de todo. La curiosidad es un atributo clave para trabajar en el rubro. Curiosidad y paciencia infinitas son una combinación que, combinadas con una apropiada formación, hacen a un buen profesional en la materia.
En el caso de la mutualista, una vez que descubrí el primer defecto menor decidí reportar porque pensé en la información médica de cientos de miles de personas. Los datos confidenciales como esos deben estar debidamente protegidos. A mí no me afectaba en lo más mínimo.
Fue “divulgación responsable”, lo que significa que, si quieres ayudar a resolver una vulnerabilidad de ciberseguridad, debes actuar de una manera que no hará que el problema inicial sea más grande o afecte al sistema de una manera más negativa.
Informé del problema de manera correcta y responsable. No me aproveché de la vulnerabilidad.
Pero debo admitir que al hablar de ello ahora, me arrepiento profundamente de haber tomado acciones para ayudar.
“Pienso que, si detectamos un problema, tenemos dos caminos, ignorarlo y decir “no es mi problema”, o podemos tomar acciones para solucionarlo. Y si uno no es parte de la solución, es parte del problema. No hacer nada es la opción más sencilla, pero a mi criterio la más cobarde”. Ese era mi pensamiento antes de que mi mundo se viniera abajo. Ahora entiendo que el no hacer nada también puede ser un mecanismo de defensa porque reportándolo, podemos también pasar a ser parte del problema o vernos sumergidos en un problema mucho mayor. Problema mucho mayor como el que me tocó vivir…
Subscribete a mi newsletter y enterate del lanzamiento del libro
NEWSLETTER https://albertohill.com/newsletter/
Para conocer mi historia, te recomiendo que escuches el podcast “Darknet Diaries”, el episodio 25 trata sobre mi historia.
