La mano de Dios no ha sido suficiente en esta ocasión. Un investigador de seguridad de origen belga acaba de descubrir un agujero de seguridad en la página web del Vaticano. Según este experto, el fallo permitiría a cualquier persona externa publicar noticias falsas en la web.
Se llama Inti De Ceukelaire y es un investigador independiente. Para demostrar que cualquiera puede entrar en la página de la Santa Sede. Y publicar lo primero que se le pase por la cabeza (o algo peor), ha hecho justamente lo propio.
Y para demostrarlo, Ceukelaire ha publicado una captura de Vatican News en su cuenta de Twitter. En esta se muestra una noticia falsa, lógicamente, que reza lo siguiente: ‘El Papa Francisco afirma que Dios es una cebolla’.
https://twitter.com/intidc/status/961492298239488000?ref_src=twsrc%5Etfw&ref_url=https%3A%2F%2Fthenextweb.com%2Fsecurity%2F2018%2F02%2F08%2Fhacker-tricks-official-vatican-news-site-into-declaring-god-an-onion%2F
¿De qué tipo de vulnerabilidad estamos hablando?
Según ha explicado el propio De Ceukelaire, la vulnerabilidad tiene que ver con unos scripts de sitios cruzados sin parches (XXS). Para poder entrar en la página web de noticias del Vaticano, explotó este agujero y se limitó a subir las noticias falsas.
En este caso, pues, explica De Ceukelaire que para poder insertar noticias falsas – y otras travesuras malignas – bastaría con inocular el código del atacante dentro de la página.
Al igual que hizo con los tweets de Trump, se podría redireccionar la web a contenidos fraudulentos o incómodos. En este caso, lo de este hacker ha sido un mal menor.
Porque aunque la broma no habrá sentado nada bien en la Santa Sede, es evidente que lo de De Ceukelaire ha sido tan solo un aviso. Una advertencia dirigida al equipo informático del Vaticano, que ahora deberá ponerse las pilas para dar solución a esta incidencia. Esto o pedir ayuda a la Cebolla, digo a Dios, para que no vuelvan a ocurrir cosas como esta.
Dice que advirtió al Vaticano, pero que no le hicieron caso
En Vatican News, lo que se encontró este hacker fue una vulnerabilidad XSS reflejada. No es tan grave como las denominadas ‘almacenadas’, pero sigue siendo un problema.
Esta vulnerabilidad la encontró dentro de la sección de noticias. Y aunque el daño se hizo en su momento, en la actualidad ya no puedes encontrar esta noticias sobre el Papa y la cebolla. Lo que ocurre, eso sí, es que la vulnerabilidad sigue ahí, a la espera de que alguien la resuelva.
De Ceukelaire ha explicado que antes de hacer pública la noticia, contactó con el Vaticano para advertirles de la problemática. Pero a estas alturas, el fallo de seguridad no se ha resuelto todavía. Y el experto se ha visto obligado a comunicar el problema.
Inti De Ceukelaire no es un aficionado
Puede que hayas leído otras cosas acerca de Inti de Ceukelaire. Es hacker y no se trata, en absoluto, de un aficionado. Nada más lejos de la realidad. Él es quien está detrás de algunos descubrimientos importantes, relacionados con la seguridad en Internet.
En septiembre de 2017, por ejemplo, publicó un informe sobre el funcionamiento de plataformas de mensajería como Slack. También redirigió distintos enlaces de viejos tweets de Donald Trump a contenidos del todo embarazosos.
