Conversamos con Santiago Hernández, ingeniero y "hacker ético" para conocer la vulnerabilidad informática que notificó a Antel y que dejaba a público conocimiento la localización de los usuarios del servicio mediante un sitio que no estaba en uso de 2008.
Su trabajo como "hacker ético"
Un hacker explota las capacidades del sistema. No tiene nada que ver con el concepto malo que tenemos de hacker. Hay personas que hacen las cosas buenas como hacker ético. Buscamos vulnerabilidades en las empresas y nos ponemos en contacto con ellas y lo reportamos. Es un servicio que al parecer estaba desde 2008 y permitía localizar a otros celulares y con otro mensaje ellos te anulaban la señal y decía en dónde estaban. Es un servicio que hoy existe pero siempre siendo voluntario. Acá podían robar tu contraseña de tu servicio de Antel y saber en dónde estaba. No sé para qué se estaba utilizando ni si estaba en uso, pero sí era peligroso que estuviera ahí.
Cómo detectó la vulnerabilidad
Estaba en las redes y vi que una persona comentó que perdió el celular. Vi alternativas para encontrar a un celular Antel y cuando lo vi sospeché en cómo estaba armada la página. En este momento lo que está de moda es el fishing y las estafas por sitio es lo que más se ve. El fishing es que te mandan correos con una página que está en una persona que lo que hace es robar la tarjeta de crédito. Uruguay es bien reconocido por su seguridad informática a nivel mundial, pero creo que este tipo de crímenes van a ir llegando cada vez más. En Antel es un poco raro. Ellos están aportando esa información para pedir la movilidad, siempre y cuando sea consentimiento.
Cuando se hizo viral la noticia ellos dieron de baja el sitio. Pasó ocho horas más o menos. Me comuniqué con ellos y aún no recibí respuesta. Un colega en Linkedin reportó otra vulnerabilidad que permitía mandar mensajes y obtener información de números de teléfono. Para evitar esto se necesita hacer pruebas más periódicas. Son servicios que ya no se mantienen y están conectados con los datos de producción y se exponen esos datos. Los dominios se vencen todo el tiempo y puede pasar que se olviden de comprarlos y luego entran en un tema legal para comprarlos.
