De todas las redes sociales, Facebook es quizás la cloaca más puerca y hedionda. Las otras no es que estén mejor, pero el hedor del desagüe de Zuckerberg eclipsa la pestilencia que emana de los otros sumideros. Hoy, Facebook tiene alrededor de 2.960 millones de usuarios activos. Personas que, a juzgar por su precaria ortografía, ostentan un bajísimo nivel intelectual. Estoy seguro de que entre más ignorante y corriente es una persona, más activa será en sus redes sociales. Es un lóbrego mecanismo compensatorio difícil de explicar.
Existe correlación entre la ignorancia y las redes sociales aunque no exista causalidad. Es algo así como: la doña bien puta y le ponen reguetón. Los minimalistas digitales acusan a los dueños de esas alcantarillas de convertir el mundo en un lugar más frívolo. Eso es mentira. Lo que hicieron los genios del Valle fue darle a la humanidad frívola un sitio de encuentro. Varios sitios cochambrosos de encuentro, en realidad. Lugares donde personas sin nada que decir pueden reunirse a exponer sus miserias y, de vez en cuando, encontrarse fuera de las pantallas para fingir que se aprecian. Quiera Dios en su infinita misericordia que no se reproduzcan entre sí o nos lleva el putas.
Confieso que no siento ningún respeto por las personas que están en redes sociales. Yo estuve en ellas y no respeto a la persona que fui. Yo era un completo imbécil. Mi problema con ellos no es que sean criaturas intrascendentes. Ellos pueden ser lo que les cante el orto siempre y cuando no me afecten.
Pero me afectan. Muchas de las cosas que hacen los idiotas en las redes sociales nos afectan a quienes no estamos en ellas. No es que nos causen un gran daño, pero sin duda nos afectan. Hace poco, estaba en un restaurante campestre y un trío de mentacatos se tomaron la infaltable selfie en el estacionamiento. No puede faltar la selfie porque lo importante no es el momento sino que otros lo sepan.
Por el ángulo en que tomaron la foto sospecho que mi auto y su matrícula quedaron en la imagen. Si esa imagen posteriormente fue subida a la cloaca más puerca, o a cualquier otro retrete digital, entonces algo que me gustaría mantener en privado fue hecho público sin mi autorización. No es gran cosa, pero yo debería ser la única persona autorizada a hacer pública mi identidad o la de mis bienes. ¿Quién más tiene derecho a hacerlo?
No sé qué más harían los tres cretinos en el restaurante porque cuando ellos llegaban, yo salía. Sospecho que debieron tomarle fotos a sus platos porque eso no puede faltar. La autoestima coja se apoya en esas muletas lamentables. Los usuarios de redes sociales son personas dignas de compasión pero no de respeto. Cuando veo a alguien tomándole foto a su comida me siento mal por esa persona pero por ningún motivo estrecharía su mano. Si el saludo me resulta inevitable, después me lavo la mano con amonio cuaternario. La compunción se me agota al recordar que cuando esos estólidos toman sus ridículas gastrofotos, muchas personas que desean mantener su privacidad pueden quedar accidentalmente en la imagen. ¿Usted tiene derecho a exponer el rostro de una persona X solo para que otros insignificantes vean que está tomando sopa?
La fuente inagotable.
Un cracker que conozco en IRC y a quien llamaremos Jota contó una historia en el chat. Le encargaron investigar a una persona que maneja un portal con información falsa. Para esos menesteres, Jota tiene una cuenta fake en Facebook, la cloaca más puerca. Es la cuenta de una mujer cuyas fotos fueron hechas con inteligencia artificial. A la sazón, según él, ya tiene un poco más de 3.000 seguidores entre pajizos contumaces, vendedores de humo, meretrices digitales y algunos objetivos que ha investigado en el pasado.
El nuevo objetivo era un atolondrado grotesco que ejerce el nuevo oficio que todos los baldragas quieren ejercer: influencer. Es decir, el estúpido que moldea la opinión y los deseos de sus pares. Los nuevos famosos que llenan estadios. Según el contratante, cuya identidad desconozco, el sujeto llevaba un buen tiempo trabajando para la competencia. Haciendo uso de su inmensa base de incautos suscriptores, se dedicó a enviar boletines donde difamaba y calumniaba los productos y servicios de otras empresas del sector.
En un boletín, se quejaba de la pésima calidad de un producto; en el siguiente, hacía un review amañado de los servicios prestados por otra compañía. Todos salían mal librados menos su contratante. Su blog entero era un libelo repugnante.
Y como todo tiene un límite, uno de los afectados habló con Jota. La verdad es que, según me dijo, eran amigos o conocidos, no recuerdo bien. No es como si el CEO afectado hubiera entrado a un chat de la red oscura buscando un cracker. Nada de eso. Por lo que entendí, creo que todo se dio en una conversación casual.
El punto es que Jota se dio a la tarea de cazar al difamador. Estas situaciones son complicadas porque cualquiera puede escribir la reseña de un producto. Todos estamos en libertad de hacerlo pero, dentro de esa aparente libertad, se puede esconder fácilmente la perfidia comercial. No hay forma de saber si una reseña es sincera o, si por el contrario, se hace con el único propósito de influir en los consumidores. Por eso yo no compro nada recomendado por esos güevones.
En fin… La cacería comenzó y terminó en Facebook. No fue necesario salir de la cloaca más puerca. En la fuente inagotable de tonterías estaba todo. Por fortuna para Jota, el objetivo era un frenético usuario de la cloaca. Todo lo compartía, todo lo informaba, en todo participaba. Su vida entera era un libro abierto. Padeciente del síndrome de Kardashian, creía que su patética vida debía ser documentada al segundo.
La metodología seguida fue la misma de siempre: reconocer el objetivo, colectar información, acceder, etcétera, etcétera. Se identifica con qué está hecho el sitio, en este caso WordPress, se buscan las vulnerabilidades y se intenta explotarlas. Para sorpresa del cracker, el blog de Tontolfo tenía varias vulnerabilidades. Algunas del tipo XSS y otras del tipo SQL Injection. Parece que al difamador no se le daba muy bien la seguridad de su propio sitio.
Muchas veces el atacante se enfrasca en lo técnico y olvida el componente más vulnerable: el usuario. Cuando se trata de sitios personales yo prefiero comenzar por la estupidez humana y, en este caso, al atancante le funcionó.
Y fue muy fácil porque el usuario medio de redes sociales necesita gritarle al mundo que es un idiota. No es que escriba en texto plano mi password es tal. Pero casi. Como la inseguridad y la necesidad de posar los obliga a compartirlo todo, solo hay que extraer los datos. Con mi hijo Juan en su cumple. Ah, OK, tiene un hijo llamado Juan nacido el 16 de agosto. ¿Probamos con el password Juan0816? ¿Juanito1608? ¿juanete-0816? Pueden ser millones de combinaciones. Por fortuna existen programas como CUPP que se encargan de hacerlas por nosotros.
El cracker utilizó las publicaciones del bobalicón y construyó un dossier del objetivo. Descubrió que, año tras año, en la misma fecha, el zoquete conmemoraba de forma dramática la muerte de su abuelita. Evidentemente la quiso mucho pero, ¿habrá algo más estúpido que escribirle publicaciones en Facebook a un muerto? Debe haberlo pero ahora mismo no se me ocurre qué. Año tras año y durante más de una década las mismas letanías hiperbólicas dirigidas a alguien que no podía leerlas. Digo, la abuela no podía leerlas, el atacante sí.
Con los mismos datos publicados por Bobaldo se crearon un par de diccionarios con un poco más de 11 millones de líneas. Supongo que el ataque se hizo sobre el wp-admin, supongo. El caso es que funcionó. La clave de acceso al sitio resultó ser Toyita221232. El apodo de la abuelita seguido de unos números significativos (22 de diciembre de 1932), la fecha de nacimiento de la señora. El difamador conmemoraba la muerte de su amada abuela pero, en la primera publicación posmortem, cometió el error de decir algo como: a tus 79 años partiste rumbo al firmamente bla, bla, bla. Sabiendo la edad que tenia la doña cuando falleció se podía saber su año de nacimiento. Ahora era cuestión de seguir bajando en busca de la celebración de alguno de sus cumpleaños para dar con la fecha exacta.
Y no fue necesario bajar mucho. Según contó el atacante en IRC, el objetivo no solo conmemoraba el fallecimiento sino que, durante algunos años, también republicaba las fotos del último cumpleaños celebrado. Hace 5 años estabámos en tu adorable compañía sin saber que pronto partirías al encuentro con el Señor. Y la foto de la viejita mueca soplando una vela…
Para este ataque no se necesitaron profundos conocimientos técnicos. Desde luego fue necesario saber cómo hacer un ataque de diccionario pero eso es lo de menos. Todo lo necesario estaba en la cloaca más puerca, en Facebook. Al final, fue el objetivo quien entregó sus credenciales. No fue necesario extraer una cookie ni inyectar un código en un formulario. Todo estaba a la vista de cualquiera que supiera lo que estaba buscando. El atacante contó con suerte. No siempre es tan fácil pero en cientos de miles de perfiles se publica, todos los días y a todas horas, información personal que, bien interpretada, puede dar como resultado un ataque exitoso.
| Disclaimer: desconozco si la historia es real. El atacante subió los archivos que utilizó para el ataque pero me dio pereza repetirlo. Puede ser cierta o puede ser falsa. No lo sé ni me importa. El punto es que esa absurda necesidad de mostrarle al mundo entero sus vidas los puede perjudicar. Al final siempre puede haber alguien extrayendo información de su estupidez. |
