Es de estos días una noticia sobre el robo de los datos personales de 16.000 usuarios de la Universidad de Las Palmas de Gran Canaria. La noticia es accesible pinchando aquí.

Cómo ha sido posible?

Pues, el supuesto ladrón ha utilizado las credenciales de un profesor fallecido hace tres años. Esto es: ha pillado el nombre del profesor, ha probado el nombre de usuario más probable (si el profesor se hubiera llamado Juan Gómez Pérez, por ejemplo, yo hubiera probado JGomezPerez y todas las combinaciones posibles con los datos disponibles).

Cómo ha averiguado la contraseña. Bueno, esto requiere un poco más de ingeniería social. Matrícula del coche, número de teléfono móvil o extensión del despacho, nombre de la mascota, equipo de fútbol preferido… son todas posibles contraseñas típicas. Tampoco hay que olvidar que los usuarios, en su inmensa mayoría, siguen utilizando estas contraseñas muy fáciles de adivinar.

Ah, y para los que piensan que el binomio «admin/admin» ya no se usa, bueno, échenle un vistazo al buscador shodan y échense unas risas (no vayan más allá de las risas, porque puede ser un delito). Aquí va un pantallazo con la búsqueda realizada con el térmio «default password«.

Default Password

Un error común

Si has llegado hasta aquí, es posible que te preguntes cómo es posible que un usuario que ha causado baja (el profesor fallecido), siga estando de «alta» como usuario del sistema.

Bueno, es muy probable que el Departamento de Recursos Humanos de la Universidad no haya comunicado la baja del profesor a los Administradores de Sistemas. Éstos saben mucho, pero no lo saben todo. Y, ahora, que levante la mano el que no se ha encontrado, en una Auditoría de Seguridad, con usuarios que hacía la tira de tiempo que ya no estaban en la entidad auditada.

Encontrarse con la vulnerabilidad de usuarios antiguos tampoco dice mucho a favor de la exactitud de las auditorías de seguridad realizadas anteriormente en la Universidad de Las Palmas (si es que las ha habido). Un problema de Identity Management (Gestión de Identidades) que ha facilitado el robo de datos personales.

Qué han hecho bien

No todas son noticias negativas. Es digno de mención que los informáticos de la Universidad vigilaran las conexiones al portal de identificación centralizada. Parece (no tengo confirmación) que las conexiones normales sólo se realizaban/realizan desde IP internas. Ergo, cualquier conexión de otra IP se clasfica como sospechosa. Esta suposición mía es un poco atrevida. ¿Quiere decir que todos los profesores que trabajan desde su casa (o desde otra universidad) y se conectan desde otras IP son sospechosos? Para mí que ha habido algo más que ha despertado el interés de los administradores de sistemas de la Universidad, pero nada se dice de esto en el artículo.

Vigilando las IP extenas, han descubierto conexiones a horas intempestivas y eso ha aumentado la sospecha. La Policía Nacional ha rastreado la IP y … bingo: han dado con la vivienda del supuesto ladrón.

Conclusiones

1. Que el Departamento de Recursos Humanos comunique las altas y bajas de usuarios a los Administradores de Sistemas es vital. Así, te ahorras disgustos.

2. Si el supuesto ladrón es tan listo como para utilizar credenciales de usuarios fallecidos, podría haber sido igual de listo enmascarando la IP de su casa (WTF!!!). Si hasta hay un vídeo tutorial

3. Tienes 26 años y todavía estás en la Universidad. En vez de dedicarte a estos menesteres, ¿por qué no acabas la carrera y te pones a trabajar? Que ya va siendo hora…