Una vulnerabilidad en el dominio web de Clave Única fue la puerta de entrada para que hackers aprovecharan de promocionar y posicionar sitios web con alto contenido sexual a través de la plataforma estatal.
Según constató BioBioChile, la intromisión de los portales para adultos se concretó de al menos dos maneras: vía open redirect y mediante black hat SEO.
En concreto, varios usuarios -tras realizar trámites que requerían Clave Única y al cerrar su sesión- en lugar de ser redirigidos al inicio de la plataforma, eran llevados a páginas pornográficas de manera automática.
De acuerdo a información recabada por este medio, el portal de Clave Única presentaba una debilidad en el proceso de autenticación que permitía abusar y redireccionar a los usuarios a sitios web externos de forma arbitraria y sin su consentimiento.
Esta debilidad es conocida en el rubro de la ciberseguridad como open redirect y permite a las bandas organizadas de hackers, por ejemplo, distribuir virus u obtener contraseñas o información valiosa mediante phishing.
En este caso, fue empleado para posicionar las páginas pornográficas.
Tal como se indicó, el segundo método utilizado fue el black hat SEO. En buenas cuentas, esto no es otra cosa que posicionar sitios web en los buscadores (Google y Bing, entre otros) de forma maliciosa, aprovechando la vulnerabilidad de páginas web reconocidas y valoradas por las personas.
La que se busca con esta práctica es que los motores de búsqueda muestren a los usuarios las páginas web maliciosas dentro de los primeros resultados, aumentando de esta forma las visitas.
En este caso, los usuarios que googlearon “Clave Única” en lugar de encontrarse con la plataforma estatal se hallaron de frente con los sitios para adultos.
La alerta
La alerta de lo ocurrido la dio Fernando Lagos, director de la empresa chilena de ciberseguridad Nivel4. A través de un boletín de ciberseguridad el profesional puso en conocimiento a las autoridades de la vulneración de Clave Única. También emitió un tuiteo donde daba cuenta de la falla.
En diálogo con BioBioChile, el especialista explica cómo opera el black hat SEO, una de las técnicas empleadas por los hackers:
—Un motor de búsqueda, por ejemplo Google o Bing, indexa el contenido de una página, pero hay delincuentes o usuarios maliciosos que se encargan de encontrar vulnerabilidades, como la de Clave Única, para poder indexar contenido indebido y posicionar sitios web.
Lagos asegura que existe prácticamente una mafia dedicada a posicionar sitios web en todo el mundo.
—La vulnerabilidad permite redireccionar a los buscadores y/o usuarios de forma arbitraria a cualquier URL (link), entonces Google indexa el dominio de Clave Única, pero considera el contenido de la redirección, es decir, el contenido de la página pornográfica.
Si bien todo apunta a que en este caso la intervención no tuvo como fin robar datos de los usuarios de Clave Única, el hecho de que la web estuviese funcionando con open redirect pudo haberse traducido, por ejemplo, en un robo masivo de credenciales.
El diagnóstico de Lagos es compartido por Pedro Huichalaf Roa, abogado con magister en Derecho y Nuevas Tecnologías de la Universidad de Chile. Durante el segundo gobierno de Michelle Bachelet fungió como subsecretario de Telecomunicaciones.
En diálogo con este medio recalca que es fundamental mantener la credibilidad de plataformas indispensables como la Clave Única.
—Es importante y primordial que los organismos públicos cuenten con una respuesta satisfactoria inmediata como el CSIRT, pero que también se hagan los cambios y ajustes para dar credibilidad y buena fe al uso de estas plataformas que todos entendemos masivas, necesarias y únicas —afirma la exautoridad.
Notificación a la Segpres
El CSIRT mencionado por Huichalaf corresponde -por sus siglas en inglés- al Equipo de Respuesta ante Incidentes de Seguridad Informática, organismo gubernamental que alerta de sucesos como lo ocurrido a la Clave Única.
Consultado su director nacional, Carlos Landeros, asegura que ya remitieron los antecedentes de la falla a la institución a cargo de la plataforma, para estos efectos la Secretaría General de la Presidencia (Segpres).
—Estas alarmas se comunican a la institución pública (…) En general la naturaleza de la notificación es básicamente que solucionen el problema, entonces nosotros detectamos con nuestros sistemas, o bien, tomamos estos reportes de algunos privados que colaboran de una manera un poco más reservada, y se notifica a la institución que tiene esta vulnerabilidad, porque estas vulnerabilidades ponen en riesgo generalmente datos y en algunos casos son datos sensibles.
Landeros aprovechó la oportunidad para recordar a las empresas privadas que preferirían que este tipo de situaciones sean notificadas por interno a fin de evitar alarmar a la población.
Requeridos por BBCL, desde la División de Gobierno Digital (organismo dependiente de la Segpres) aclararon vía declaración escrita que la vulneración de Clave Única no puso en riesgo la seguridad de los usuarios, “quienes deben seguir utilizándola con total confianza”.
“En cuanto a la brecha misma, cuyo riesgo asociado es muy acotado, hemos estado trabajando en ella desde que tomamos conocimiento de la misma, días antes de la publicación del tuit que ha estado circulando, y estamos prontos a darle la solución correspondiente”, complementaron.
También recordaron que “lo correcto sería haber informado de manera reservada, como lo hacen quienes realmente quieren ayudar a mejorar la seguridad, ajustándose además a las buenas prácticas internacionales en la materia”.
Por último, desde la Segpres indicaron que están revisando todos los antecedentes para eventualmente iniciar acciones legales en contra de quienes se aprovecharon de la vulnerabilidad.