Vivimos en una sociedad en donde la información lo es todo. Tenemos múltiples modos de obtenerla y siempre es muy importante el poder contrastar las noticias que leemos. No todo es como se nos muestra en un primer momento. A veces una búsqueda, un análisis forense como lo llamo yo, investigar de un tema, puede depararnos muchas sorpresas.
Internet Archive, archive.org, es una biblioteca digital estadounidense con la misión declarada de “acceso universal a todo el conocimiento”. Proporciona acceso público gratuito a colecciones de materiales digitalizados, incluidos sitios web, aplicaciones de software / juegos, música, películas / videos, imágenes en movimiento y millones de libros. Además de su función de archivo, el Archivo es una organización activista que aboga por una Internet libre y abierta. El Archivo de Internet contiene actualmente más de 27 millones de libros y textos, 6.1 millones de películas y videos, 583,000 programas de software, 15 millones de archivos de audio y 468 mil millones de páginas web en Wayback Machine (a fecha 8 de septiembre de 2020).
Introducción
En algún curso que he impartido de seguridad informática incluí una polémica ocurrida en twitter. Podéis ver el hilo de la polémica aquí -> https://twitter.com/RubenSanchezTW/status/1021313078452015104. El motivo es que me parecía muy relevante lo que ocurrió. Comparto un artículo escrito por Chema Alonso en su blog, por tanto, es la versión de Chema. Éste es el artículo:
https://www.elladodelmal.com/2018/07/una-historia-de-hackers-bugs-en.html
Por otro lado, tenéis la versión de la parte contraria, asociación de consumidores Facua, en forma de nota de presa a continuación:
https://www.facua.org/es/noticia.php?Id=13025
Que pasó
Una asociación de consumidores, Facua, hizo constar a Movistar que en el area de facturación había un grave error de seguridad. Este grave error lo había detectado un usuario anónimo que se puso a trastear con la barra de direcciones del navegador. Había detectado que si cambiaba algún valor en la barra de direcciones como por ejemplo cambiar el mes o el año, era capaz de ver la factura de otro cliente. Como os podéis imaginar éste es un error muy grave, que cualquier persona pueda ver la factura de otra persona no puede ocurrir en una página web que maneja información sensible como la de Movistar.
El artículo de Chema es muy técnico y aclara todos los temas, pero como os he comentado es su versión. Por un lado está él, y por otro la asociación de consumidores en boca de uno de sus representantes, Rubén Sánchez.
Informar a Movistar
No voy a entrar en quien tiene razón o quien no, pero lo que me quedo es que en un momento dado la asociación de consumidores hace constar que en la página de Movistar no existe la forma de notificar una avería. Esto puede resultar curioso, porque es difícil de creer que en una página enorme como es la de Movistar no exista esa posibilidad. Por tanto, hagamos un pequeño resumen. La asociación de consumidores envía un domingo a las 8 de la tarde este mensaje de whatsapp a un cargo intermedio de Movistar (Chema Alonso se enteró en un viaje y tuvo que volverse de vuelta debido a la gravedad del asunto). Movistar trabaja sin saber exactamente el error y lo repara horas después.
Éste mensaje es muy revelador. No informan con detalle a Movistar de donde esta el agujero de seguridad. Solo informan que es en el área de facturación. Según hacen constar intentaron por todos los medios de contactar con personas encargadas de Movistar pero no lo consiguieron salvo a última hora del domingo. Lo dice el propio representante de la asociación de consumidores:
Los técnicos de Movistar tuvieron que investigar y trabajar casi a ciegas durante horas para descubrir donde esta el error y a las 4.00 am de la madrugada del lunes lo resuelven. El área de facturación no estuvo disponible durante días porque se tuvo que auditar el corregir este error.
Notificar una avería e investigar la causa
Por tanto, la asociación de consumidores no encontró en la página web de Movistar donde se podía notificar una avería. Chema Alonso en su artículo dice que efectivamente existe ese botón y sube una captura de donde está, concretamente aquí:
Ahora bien, yo me puedo creer la versión de Chema Alonso que existe ese botón o me puedo creer la versión de la asociación que no existe. Por que podemos pensar que Movistar montó ese botón a propósito, creó esa opción una vez destapado este grave error de seguridad y que no hubiera forma de notificarlo. ¿Cómo podemos saber quien dice la verdad?
Investigar la verdad en archive.org
En el tweet del representante de la asociación de consumidores tiene una marca de tiempo, 17 de julio de 2018, a las 5.57 pm. Ahora nos vamos a archive.org y buscamos la url que comparte Chema Alonso, http://www.movistar.es/particulares/centro-de-seguridad/.
La búsqueda nos muestra que hay capturas de pantallas que se inician precisamente en el mismo año, año 2018. Hay una captura, la más antigua del 13 de junio de 2018. No sabemos cuando se creó esa página pero sabemos que al menos el 13 de junio de 2018 existía, puesto que quedó grabado una instantánea ese mismo día.
La captura la podéis ver en esta dirección -> https://web.archive.org/web/20180613230130/http://www.movistar.es/particulares/centro-de-seguridad/. En ella efectivamente existe ese botón como veis en la figura siguiente:
Conclusiones
La página archive.org es una biblioteca que guarda páginas web en sus servidores, siendo de algún modo una memoria viva de internet. Hace unos años tuve una página web y está guardada en archive.org como era en una fecha del pasado. De igual modo, cualquier otra página web que haya sido indexada por archive.org aparece. Se puede utilizar para investigación y para ver cómo ha cambiado una página a lo largo del tiempo.
También puede ser una forma de auditar una página web puesto que permite rastrear versiones en el pasado de la misma y si en algún momento fue víctima de un sabotage se puede sabe aproximadamente las fechas del mismo.
A mi siempre me ha encantado investigar, quizás sea por mi vocación científica. Por ejemplo, auditando una página web de una empresa me di cuenta que no se permitía añadir esa página al índice de google. Si buscabas en google la página en cuestión te informaba que la página web no estaba añadida pero había un aviso que el contenido estaba bloqueado. La que ocurría es que el archivo robots.txt, el archivo que procesan los robots que van navegado la web para añadir páginas a listados, prohibía expresamente que se añadiera todo el contenido de la página. Decir que si una empresa no aparece en google es como si no existiera.
Gracias a archive.org pudimos comprobar que alguien, no sabemos quien, había modificado ese archivo robots.txt en agosto del año anterior. No sabemos la fecha exacta, pero sí sabemos que existe una captura de tal fecha que lo demuestra. Esa captura fue la prueba del delito. Yo solo informé de lo que pasaba a la empresa y luego ellos tomaron las medidas que estimaron oportunas.