LOGIN INFERNAL

La historia de Alberto Daniel Hill @ADanielHill

Primera parte

Imagen tomada de Darknetdiaries.com

Versión Original en Inglés de

https://www.osintme.com/index.php/2020/02/25/admin-admin-part-1-from-responsible-disclosure-to-a-prison-cell/

Traducida y publicada con autorización de su autor.

¿Quien soy?

Soy Alberto Daniel Hill, un ingeniero informático con más de 20 años de experiencia vinculada a la Seguridad de la Información (Consultoría, Informática Forense, Ethical Hacking, Seguridad de TI). Trabajé en muchas grandes empresas en Uruguay y brindé servicios para empresas en otros países.

En 2011, me especialicé en las normas ISO / IEC-27000, así como en Ethical Hacking y aprobé varios cursos relacionados con una amplia gama de campos de seguridad informática.

Estoy certificado por PMP y he liderado muchos proyectos de Seguridad de la Información desde 2011. También tengo el Certificado de Fundamentos de Ciberseguridad (CSX) de ISACA, organización que me otorgó un reconocimiento de membresía PLATINIUM.

La certificación CSX en Ciberseguridad demuestra un conocimiento alineado con el Instituto Nacional de Estándares y Tecnología (NIST), la Iniciativa Nacional para la Educación en Ciberseguridad (NICE), que es compatible con problemas, actividades y roles laborales de ciberseguridad global.

Formo parte del equipo de voluntarios del capítulo OWASP Uruguay desde 2012. Me han reconocido a nivel mundial por mi conocimiento de Blockchain y Criptomonedas así como por todos los aspectos que involucran su seguridad. Fui disertante sobre esos temas en algunos de los eventos de seguridad de la información más importantes del mundo.

Soy un hacker ético y ningún otro hacker. Realizo mucha investigación para conocer las herramientas que usan los malos, pero no soy un criminal. Y el dinero no es lo que me motiva para hacer estas cosas “.

Hola Alberto, gracias por acceder a hablar conmigo! Como ex miembro de las fuerzas del orden público, puedo entender que quizás no esté tan interesado en hablar con alguien que estaba en la policía …

¡Hola! ¡Gracias por invitarme a su sitio! Y gracias por la oportunidad de aclarar que no tengo ningún problema con la policía ni con nadie que trabaje en la aplicación de la ley.

Acabo de perder mi respeto por aquellos que me habían demostrado que obviamente no son competentes para realizar sus deberes como deberían.

En particular en Uruguay, donde la policía de delitos cibernéticos realmente carece de lo básico que se espera para hacer un trabajo competente. Para compensar la falta de habilidades técnicas, utilizan otras formas de cerrar investigaciones. Y esas formas no son éticas ni justas.

Antes de la historia que voy a contar, siempre tuve buenas experiencias con policías de cualquier tipo.

Incluso más tarde, durante mi tiempo en prisión, mi relación con todos los policías que trabajaban allí fue excelente. Fueron grandes seres humanos y todavía estoy en contacto con ellos.

Pero sí tengo un problema con quienes no están preparados para cumplir con sus funciones de manera justa y transparente. No hacer bien su trabajo básicamente significa enviar a alguien a la cárcel. Alguien inocente.

¿Cómo describirías quién eres, como persona, en 5 oraciones o menos?

Después de mis experiencias, no puedo responder a esta pregunta de esa manera. Tengo que decir quién era y quién soy.

Yo era un chico de clase alta que lo tenía todo en la vida. Tenía mi título, tenía la chica más hermosa del mundo y un trabajo con un gran salario. Tenía una visión bastante unilateral del mundo. La vida era buena.

Ahora mismo soy una persona con PTSD en tratamiento. El trastorno de estrés postraumático es una condición que nunca pensé que pudiera afectar tanto una vida. Mi familia somos solo mi mamá y yo.

No tengo trabajo. Pero la cantidad de ofertas que he recibido desde que me liberaron es algo difícil de creer. Es como si mi valor de mercado subiera a la luna después de estar en prisión. Por motivos de salud directamente relacionados con el proceso judicial y mi estadía en la cárcel.

Y creo que esta es la regla en mi profesión, probablemente sea el único campo en el que esto sucede. Después de estar en prisión, encontrar trabajo no es fácil para nadie, y encontrar un buen trabajo es casi imposible. Me ofrecieron trabajos de ensueño.

En este momento, sin embargo, estoy enfocado en aprender lo más posible sobre el sistema legal en Uruguay y hacer contactos en todo el mundo mientras difundo mi historia al mismo tiempo.

Bien, pasemos directamente a tu historia. ¿Cómo comenzó todo?

Un sábado por la tarde, a fines de 2014, estaba con mi novia en su casa y me pidió que visitara el sitio web de su proveedor de atención médica, Círculo Católico, para buscar información. Ella me acaba de decir la URL, y antes de que pudiera decirme sus credenciales de inicio de sesión, comencé a buscar en el sitio web.

¿Qué quieres decir con eso?

La página de inicio de sesión tenía un captcha molesto y comencé a mirar el código fuente. Rápidamente descubrí que todo lo que tenía que hacer para deshacerme de ese mecanismo de captcha era eliminar un parámetro en la URL del formulario de inicio de sesión, ¡y bingo!

Las características de seguridad del sitio web eran terribles. Descubrí, por ejemplo, que era posible obtener acceso de administrador utilizando el “admin” genérico tanto para el inicio de sesión como para la contraseña. Entonces, no solo pude ingresar al sitio web, también podría obtener privilegios de administrador.

Esto significaba que, en teoría, podría haber accedido y alterado los registros médicos de los pacientes, agregar nuevos pacientes, profundizar en los informes financieros de la empresa y mucho más.

Continuará…

--

--

--

infosec … ak “hacker” from Uruguay :)

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
nofear75

nofear75

infosec … ak “hacker” from Uruguay :)

More from Medium

Azure Live Cyber Attack Map Guide for beginners

Docker x Pyrsia: Securing the Software Supply Chain

A yellow submarine to the left with the words Discover. Learn. Excel. in white on the right.

Setting up Git for Unity

INTRODUCTION TO SUMATI