20 días después, seguimos dentro de la Agencia EFE
Hace unas semanas publicábamos un texto en el que presentábamos una acción relativamente modesta, con una importante denuncia.
La selección del objetivo estaba marcada por la necesidad de dar a conocer la ley de excepción digital que ha sido aprobada con nocturnidad y alevosía por el actual Gobierno en funciones, y ratificada en el Parlamento con el apoyo de PP y Ciudadanos, y la abstención de Unidas Podemos. Efectivamente, hablamos del Real Decreto-ley 14/2019, por el que se otorga un poder absoluto al Gobierno en materia de telecomunicaciones. Hasta tal punto, que podría ejercer la gestión directa de las mismas llegando a intervenirlas a demanda.
Sin embargo, sabíamos que sería complicado dar a conocer la acción y, con ello, el mensaje tras la misma. Y es que prácticamente todos los medios de comunicación tienen una cartera virtual para comprar misivas a la Agencia EFE (por medio de un sistema de pago con un protocolo no precisamente sencillo). Es una de las manos que les dan de comer, con lo que son parte de los afectados. Naturalmente, iban a intentar evitar difundir la noticia de que el medio estatal de la SEPI es un coladero 😁
Pero nuestras múltiples motivaciones políticas siempre tienen un mismo trasfondo común: la denuncia de la (in)seguridad en la Red. Especialmente, cuando se trata de grandes instituciones, pues son responsables de miles de datos de terceros. Nuestra elección del objetivo no estuvo nunca, por tanto, limitida a la necesidad de dar a conocer una noticia echando mano de su sistema de edición, la plataforma PMU.
Esa primera acción era mucho más ambiciosa. Y respondía a una apuesta que habíamos hecho entre nosotras: ¿Cuánto tardarían los equipos informáticos en actuar? ¿Serían capaces de ver más allá de la denuncia pública? ¿Entenderían por dónde habíamos entrado, encontrarían el fallo de seguridad? ¿Comprenderían, por tanto, hasta dónde nos habíamos metido? En otras palabras, ¿auditarían los sistemas o se limitarían a cortar el acceso y cambiar las contraseñas de las cuentas que habíamos utilizado para acceder a la PMU? 🙄
Como de costumbre, optaron por la vía fácil, barata y silenciosa. Eligieron poner por encima de todo su imagen y ganancias.
Y, cómo no, la cagaron...
Porque después de meses y una denuncia pública de semanas, seguimos dentro 😅
Sí, queridos. Seguimos dentro a pesar de vuestra paulatina migración a Azure. ¡Vaya! ¿Pensabais que con eso se acabaría el problema? Pues hemos migrado con vosotros a la nueva plataforma ultrasegura de Microsoft 🤭
Y ahora, otra vez: ¿creéis que esto es todo lo que tenemos? 😬
Podríamos haber hecho ingeniería social y conseguir unos pocos usuarios y contraseñas de forma “casual”, sí. Pero solemos ir un poco más allá, no nos ofendáis.Y, de todos modos, sólo con eso ya se pueden adjuntar archivos y subir cualquier guarrada a los servidores, con lo que optar por la vía fácil tampoco es lo más adecuado en esta tesitura. ¿Acaso no se alertó a los ciberseguratas del CCN, Incibe, Cert o CSIRT para que echaran un vistazo? 🙉
Lo cierto es que casi ninguna de nosotras llegó realmente a creer que alguien pudiera pensar algo así, pero aún así decidimos dar tiempo y sembrar la duda de que todo había sido el simple intento fallido de edición de una noticia 😂
Han transcurrido 20 días, y han ganado la apuesta las opciones más arriesgadas: las que iban en la dirección de que no harían nada, limitándose a cambiar las contraseñas. Total, sus clientes se encargarían de no dar trascendencia al intento de deface con el editor, y punto final. Ya sabéis, aquello de lo que no se habla, no existe...
¡MEEEEC! ERROR DEL SISTEMA 🚨
Tenéis una segunda oportunidad 😉
Inglorious /b/asterds








