Un grupo de 'hackers' conocido como Gaben Security se ha colado 'hasta la cocina' de la web del CNI, es decir, hasta el servidor que aloja todos los datos de la página. Se trata del mismo grupo que ayer lanzó un ataque de denegación de servico (DDoS) que tumbó la web de forma intermitente durante varias horas. Pero esta otra acción es bastante más seria: demuestra que la web poseía una vulnerabilidad a través de la que se colaron los 'hackers'. Estos no han logrado hacerse con ninguna información interna sensible de la agencia, pero los datos a los que han tenido acceso podrían usarse, entre otras cosas, para elaborar más ciberataques.Esta nueva acción de Gaben Security se enmarca dentro de la conocida como 'OpCatalunya', una serie de ciberataques de diferentes grupos (incluido Anonymous) contra webs del Gobierno español "en defensa" de Cataluña. Documentos y pantallazos a los que ha tenido acceso Teknautas a través de diferentes fuentes confirman que los 'hackers' encontraron una vulnerabilidad en el buscador de la web del CNI. Realizando una inyección de código SQL, pudieron identificar la vulnerabilidad del buscador y acceder al servidor web que almacena todos los archivos y contenidos de la página.
Uno de los miembros de Gaben Security anunció así ayer el ataque a los servidores web del CNI:
#Breaking: We've found 2 injection points on #CNI(cni.es).
This requires finesse, so patients will pay off. Proof only shown in DM. #GSec
— GabenSecurity (@GabenSecTeam) 24 de octubre de 2017
— GabenSecurity (@GabenSecTeam) 24 de octubre de 2017
En los pantallazos siguientes se puede ver el contenido al que han tenido acceso los 'hackers' tras explotar la vulnerabilidad del buscador de la web y colarse en su servidor. Fuentes del CNI han reconocido a este diario tanto el ataque DDoS sufrido ayer como la inyección de código SQL posterior, aunque aseguran estar "analizando el fallo de seguridad empleado para infiltrar la página". De momento, ni confirman ni desmienten que los atacantes hayan accedido al servidor web. "De todas formas", indican, "la página la gestiona y mantiene una empresa externa totalmente ajena al CNI y no contiene ningún tipo de material sensible, solo informativo".
Sin embargo, un nuevo detalle en la página del CNI demuestra que el buscador, efectivamente, pudo ser el vector de entrada de los 'hackers': hoy esta función ya no está disponible en la esquina superior derecha (ver foto de apertura). El buscador sí aparecía en la versión de la web de ayer. "Hemos tomado medidas preventivas para analizar lo ocurrido, y una de ellas ha sido lanzar otra versión de la página", explican fuentes del CNI.
"Es un error de seguridad muy básico que una web como la del CNI no debería tener. Da igual que se lleve desde una empresa externa: esta compañía debería haber realizado una serie de comprobaciones para detectar vulnerabilidades. Un 'hacker' nunca va a poder acceder a material clasificado de esta forma, todo eso se encuentra en otros servidores, pero sí se pueden elaborar nuevos ciberataques contra esa web", explica a Teknautas un especialista en ciberseguridad que asesora a grandes empresas del Ibex y prefiere mantener su anonimato.
Esta fuente señala una forma en que se podrían emplear los archivos a los que han accedido los 'hackers': "Con esta información puedes infiltrar la página con 'malware' e infectar a cualquiera que la visite. Si infectas el ordenador de estos usuarios, vas a poder acceder a todos sus datos y tal vez alguno de ellos sí pueda ser alguien con información sensible relacionado con el CNI o el Gobierno. Es solo cuestión de tirar del hilo".
'Hackers' de EEUU, UK y Australia
"Han realizado este ataque tras la llamada de un amigo en Cataluña, que les pidió ayuda para atacar páginas relacionadas con el Gobierno dentro de la 'OpCatalunya', explica una fuente con acceso directo a Gaben Security. No se sabe mucho sobre quiénes están detrás de este grupo. Según ha podido confirmar Teknautas, se trata de cinco miembros, ninguno español, ubicados en diferentes países. Son responsables, entre otras acciones, de 'hackeos' al Gobierno francés para filtrar información de investigaciones terroristas.
"No son Anonymous. De hecho, se quieren desmarcar de ese movimiento porque creen que Anonymous está aprovechándose de sus acciones para hacerlas suyas sin dar el suficiente crédito. Elaboraron un vídeo sobre la 'OpSaveCatalonia' y pusieron el logo de Anonymous al principio, pero ahora hasta se arrepienten", explica una fuente con acceso directo a Gaben Security.
"Son 'hackers' ubicados en EEUU, Australia y Reino Unido", señala otra fuente consultada que ha seguido su rastro. "No van a revelar su ubicación, pero esos países mencionados no son correctos", aseguran a través de la fuente intermediaria. "Están en un lugar y en todas partes a la vez. Y son técnicamente muy buenos. Habrá muchos más ataques como el del CNI, y peores".
FUENTE: Con información de MANUEL ÁNGEL MÉNDEZ - https://www.elconfidencial.com
