El responsable de datos de Telefónica, Chema Alonso, y el portavoz de Facua, Rubén Sánchez, se han enzarzado en Twitter en lo referente a la gestión del agujero de seguridad que Movistar tapaba el lunes pasado tras recibir un aviso por parte de la organización de consumidores.
¿Cómo empieza la guerra?
Comienza con un post de Chema Alonso en su blog, El Lado del Mal, en el que, primero, explica muy bien el origen del problema: “Es un fallo clásico, conocido. Nada complicado. Solo hay que buscarlo dentro de una auditoría completa del sistema. Y aparece. Claro que aparece. El problema es que si se hacen cambios menores en la web, y se inyecta el bug por error humano una vez auditada, hay que volver a auditar. Debería ser así. Pero a veces se cometen errores. Y ese bug sencillo se quedó en esa parte de la web”.
El problema es que después achaca a Facua un comportamiento incorrecto, y lo hace así: “Pero que se anuncie un bug en una empresa, se convoque una rueda de prensa y se le diga a la empresa que NO le va a dar los detalles hasta la rueda de prensa, es lo más kafkiano que he visto en mi vida como investigador de seguridad. Y actuar de esta forma defendiendo que es para ayudar a los clientes que se pueden ver afectados por ese bug es rizar el rizo de lo absurdo”.
“De hecho, deja clarísimo cuáles son los objetivos de los que han reportado el bug de esta manera, pero desde luego no era proteger a los usuarios”. “Bajo mi entender, y como opinión personal, el objetivo de hacer algo así -si lo hiciera yo en alguno de mis reportes- sería solo hacer daño a la empresa, darse autobombo, y nunca preocuparse de los usuarios/clientes de ese sistema/empresa”.
“Es decir, lo último que le preocuparon fueron los clientes de Telefónica ya que, todos los que durante el tiempo que la vulnerabilidad fuera pública estarían expuestos a que cualquier malo explotase el bug”.
¿Tiene razón Chema Alonso?
En lo que tiene razón, claramente, Chema Alonso, es en que Facua, con sus planes para anunciar el bug en rueda de prensa el pasado lunes, contribuyó a dos cosas: La primera es que los técnicos de Telefónica trabajaron contrarreloj para cerrar el agujero con muy poca información. La segunda es que se mantuvo más tiempo el bug abierto.
El error que comete Alonso es inferir que Facua iba a hacer público el agujero antes de comunicárselo a Movistar. En mis conversaciones con la organización, siempre dejó claro que indicaría que había un agujero pero que nunca daría detalles sin hablar con Movistar antes, precisamente para evitar la explotación del bug.
Asimismo, lo cierto es que Facua sí avisó a Telefónica no sólo de que la compañía tenía un agujero, sino de que dicha vulnerabilidad afectaba al acceso a las facturas, lo que permitió a los técnicos de Movistar acotar la búsqueda y resolver un error que llevaba meses abierto, si bien no había sido explotado a gran escala.
¿Por qué Facua tiene problemas con Movistar?
Una de las causas de todo este lío tiene que ver con la ausencia de un buen nivel de interlocución entre la organización de consumidores y la operadora, un problema que viene de muy atrás. El último contacto oficial de calado entre ambos tuvo lugar cuando Telefónica envió un burofax a Facua amenazando con una querella si volvía a utilizar su marca en cualquier comunicación pública.
¿Fue por esto por lo que tardaron tanto en anunciar el agujero?
Facua no se sintió cómoda con esto hasta que no consiguió un acta notarial en la que se describía el agujero. Temía que si informaba del agujero sin más, Movistar negase después su misma existencia. Es lo que pasa cuando hay problemas de comunicación entre dos organismos condenados a entenderse.
¿Cómo consiguió cerrarlo Movistar?
En parte, porque ya sabían que afectaba al área de facturación y pudieron acotar el problema -gracias a Facua-. Lo consiguieron a las 4:30 de la mañana. La paliza se debió a que querían cerrar el agujero antes de que se anunciase su misma existencia. Yo mismo, al titular mi información, lo hice como “Movistar tapa un agujero” en lugar de “Movistar tiene un agujero”. Puede parecer lo mismo pero no lo es.
¿Hay pruebas de lo que dice Facua?
Rubén Sánchez ha publicado capturas de los mensajes que intercambió con Pedro Serrahima, en los que queda claro que se informó del área concreta afectada, que dispondrían de información (poco) antes de la rueda de prensa, y en los que se indica que no se daría información detallada durante la rueda de prensa sobre cómo acceder a las facturas.
¿Cómo evitar esta situación?
Coincido con Chema Alonso en que la forma de Facua de lidiar con el problema no es el más protocolario si nos atenemos a ciberseguridad. Pero toda la situación se exacerba con la desconfianza entre las partes y los problemas institucionales, y se arregla gracias a la buena relación entre individuos que sí tenían relaciones construidas y ningún motivo para desconfiar el uno del otro.
Si bien fueron los técnicos de Telefónica quienes cerraron el agujero, fue la buena relación entre Pedro Serrahima, director multimarca de Telefónica, y Rubén Sánchez, portavoz de Facua, la que consiguió romper el nudo gordiano y encontrar una solución al problema.
¿Quién tiene más razón de todos?
Los técnicos que se pasaron hasta las 4:30 de la mañana del lunes intentando encontrar una solución al problema. Ellos seguro que tienen una opinión muy fuerte sobre la situación, sobre cómo se produjo y sobre cómo tenían mejores cosas que hacer a esas horas. Por ejemplo, dormir.
Sobre el resto de implicados, podemos discutir si acertaron o se equivocaron, e introducir los matices que queramos. Para mí, estas personas son quienes se merecen mi aplauso incondicional.