viernes, 1 de febrero de 2013

Cómo no se deben hacer las cosas (2): Jugando al escondite con un webmaster

Este es el segundo de una serie de posts. En el primero se mostró como una página había caído víctima de unos ciberdelincuentes que la habían utilizado para promocionar una web que decía vender programas.

Vale. ¿Y qué? Que una web sea modificada de forma autorizada no es nada nuevo. Ni siquiera los expertos en seguridad están libres de este riesgo. O incluso lo están menos que otros porque son un objetivo llamativo. No es de extrañar que gente tan reconocida en este mundillo como John Strand, de Paul Dot Com, pidan disculpas por adelantado, por si acaso y para cuando ocurra... lo que parece inevitable.

Ni tampoco son nuevas las técnicas de promoción de sitios web en buscadores utilizando técnicas ilegítimas o ilegales. Por darme autobombo, ya hace tiempo que mi amigo Chema Alonso y yo escribimos al respecto en Técnicas SEO para gente de moral relajada, o que hablé sobre el tema en una charla o que le dediqué un capítulo de un libro sobre buscadores. Y en su momento hice una herramienta para detectar precisamente este tipo de comportamientos y la íbamos a presentar en la Open Source World Conference de 2010 en Málaga.

Sí, esa que al final no llegó a celebrarse por falta de dinero.

Bueno, vamos a ir dejándonos de "anuncios". Entonces... ¿A qué repetirme otra vez aquí?

En esto, como en tantas otras situaciones, lo malo no es tanto que te la peguen como no darte cuenta. O no querer darte cuenta. O no hacer lo posible por darte cuenta. O... Sigamos con la historia...

En casos como éste, en que el problema es notorio y está registrado en Google, entiendo que lo más apropiado es tratar de contactar con el webmaster y contarle lo que uno ha visto. En casos como éste, digo, porque hay otros en los que lo más seguro para uno es callarse o comunicar la noticia a través de intermediarios. Que no se quieren para nada los problemas legales.

Así que me fui a la página de "contacta con nosotros":


Perfecto. Una dirección postal, por si quiero enviarles una carta, y una lista de distribución. ¿Acaso debería pegarle un sello a un sobre y esperarme a que llegue mi misiva? ¿o es preferible mandar la información a la lista y que todo bicho viviente que esté registrado en ella lo sepa?

Pues, esto último... ni aunque creyera yo que es lo correcto. Porque el enlace no furula:



Fallo número 1. Si tienes un sitio web, ten siempre una forma de contacto ágil para que te puedan contar estas cosas y no te conviertas así en el último en enterarte. Como aquel al que...

Para tener la conciencia tranquila, mandé el correo al webmaster de www.mit.edu. Algo tendrá que ver con este dominio, espero. Después pensé "seguro que en algún sitio hay otro dato de contacto" y navegué un poco por la web. Y me fui dando cuenta de lo poco actualizada que estaba


Desde finales del 2011 no había nada nuevo. Ummmmm....

Fallo número 2. Si no necesitas ya un sitio web, no lo mantengas operativo.

Cada cosa que pones aumenta tu superficie de exposición, haciéndote más vulnerable y complicándote la vida un poco más. Por no hablar de los costes que pudiera suponer.

Aunque, a lo mejor, sí que lo necesitan. Quizá sea un repositorio de documentación interesante. Como no veía nada por fuera que me fuera determinante, decidí echar un vistazo al código fuente y...


¡Jommla 1.5! ¡Pero si eso ya va por la versión 2.5.8 (recomendada por los de Joomla para uso general) y 3.0.2 (para los valientes)?

Fallo número 3. Si tienes un sitio porque lo necesitas, mantenlo actualizado.

Vamos a ver: no se trata de que las versiones más modernas no tengan vulnerabilidades. Donde radica la verdadera diferencia entre la úlima versión y las versiones antiguas es en que las vulnerabilidades de éstas últimas son muy, pero que muy, conocidas. Y hasta en las webs de numismática se las encuentra uno a veces explicadas.

Teníamos una página web que se comportaba de tres formas diferentes. De forma similar, los tres fallos que hemos encontrado se pueden resumir en uno: no pongas en marcha nada que no seas capaz de mantener en el futuro y gestiónalo de forma integral y responsable.

O, lo que es lo mismo, no caigas en la "trampa del elemento facilitador". No instales nada simplemente porque puedes hacerlo y es gratis. Primero porque, al final, nada es gratis. Y después porque si no estás en condiciones de poner encima de la mesa los medios económicos, organizativos, técnicos y de cualquier otro tipo... al final algo saldrá mal.

Y, cuando pase, mejor será que te enteres pronto y le pongas solución.

Resumiendo y utilizando las expresiones de otros: "no instales sistemas por encima de tus posibilidades".

A estas alturas, me hago una idea sobre cómo consiguieron hacerle la fechoría a la página. Quizá algún día tenga ocasión de contarlo.

Quizá. Así que... (continuará)

No hay comentarios:

Publicar un comentario