Tiene sólo 17 años pero ya ha conseguido sacarle los colores a empresas como Google, eBay o Tumblr. Miguel Ángel Jimeno, un joven nacido en Santo Domingo de La Calzada (La Rioja), lleva más de un año y medio olfateando fallos de seguridad en páginas y aplicaciones de estos gigantes. Y parece que no se le está dando nada mal. Su trabajo ha merecido ya la enhorabuena de expertos en seguridad informática como Chema Alonso.
Miguel Ángel dio sus primeros pasos en el mundo de la seguridad a través de la página Underc[0]de, un foro en el que moderaba la sección ‘Hacking Show Off’. A finales del pasado mes de enero, decidió abrir su propio blog, Researching for Fun. Una ventana que utiliza para mostrar los fallos XSS que descubre en las webs de grandes compañías.
“Me dedico a detectar todo tipo de fallos de seguridad, no sólo XSS”, nos explica. Entonces, ¿por qué publica sólo esos? Según el riojano, “los fallos XSS son los más habituales y no resulta tan ‘peligroso’ para la compañía que se hagan públicos”.
En lo que respecta a los agujeros de seguridad que sí son peligrosos, Miguel Ángel ha localizado vulnerabilidades SQLi, que permiten atacar el contenido y alterar el funcionamiento normal de una base de datos, y también ha encontrado fallos que permiten ejecutar código en remoto (ataques RCE) en el servidor de algunas de esas webs.
Pero, ¿qué tiene de grave detectar vulnerabilidades XSS en eBay o Google? Es más, ¿qué es eso?
Fallos XSS
Los fallos XSS (o ‘cross-site scripting’) permiten inyectar código malicioso en páginas, aplicaciones o navegadores para su posterior ejecución. Puede ser un simple enlace o algo más complejo embebido con las etiquetas <script> o <iframe> del lenguaje HTML (las mismas que utilizas para meter vídeos de YouTube). Para que lo entiendas, los fallos XSS son tan simples que suelen ser descuidos del desarrollador de una página o aplicación.
Y a nadie le gusta que le descubran fallos tontos. Miguel Ángel es consciente de ello. “Jamás he tenido la intención de avergonzar a nadie ni a ninguna empresa”, señala. “En todo caso hacer públicos sus fallos para que se viesen obligados a corregirlos”. Un principio del ‘hacking ético’ al que se intenta ajustar “en la medida de lo posible”.
Lo que llevó a este joven a meterse a cazador de ‘bugs’ fue “la ilusión, el verme a mí mismo en un reto mental para escapar de los filtros de seguridad que los programadores crean […] La ilusión por demostrarme a mí mismo y al mundo que absolutamente nada es cien por cien seguro”.
Uno de los trabajos más sorprendentes de Jimeno es, sin duda, el fallo que encontró en la Play Store de Google. Un hallazgo que le ha llevado a ser felicitado por Chema Alonso, referente mundial en materia de seguridad informática. El riojano nos cuenta que Alonso le pidió permiso para hablar de su descubrimiento en su prestigioso blog, ‘Un informático en el lado del mal‘.
Sin duda, que los productos de las multinacionales tecnológicas presenten vulnerabilidades tan sencillas resulta impresionante, aunque a Miguel Ángel algunas no le sorprendieron tanto: “eBay, para mí, está mal hecha desde un principio, aunque Tuenti también está cerca. Un amigo le ha sacado los colores con más de diez fallos de seguridad en su red social”.
Una última pregunta. ¿Responden estas empresas cuando alguien destapa sus vergüenzas? “Aquellas que no tienen ‘bug bounty’ o programa de recompensas no te responden”, indica el riojano, que afirma que han llegado a amenazar con denunciarle, puesto que “buscar fallos de seguridad en empresas sin su consentimiento es algo ilegal”.
Ahora Miguel Ángel espera convertirse algún día en un programador o un ‘pentester’ profesional. Quiere entrar en un sector en el que, como él mismo ha demostrado, el más mínimo descuido puede resultar crucial. Como se suele decir, un sistema es tan seguro como su eslabón más débil. Y el eslabón más débil siempre somos los humanos.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
2 comments
Dos apuntes:
En una parte pone XXS en lugar de XSS.
Ya he acabado Bachillerato ((:
Jamás hubiera esperado que la entrevista que me hicieron acabase siendo publicada. MUCHÍSIMAS GRACIAS.
¡Muchas gracias a ti! ¡Todo cambiado! 😉