Informático descubrió debilidad en la Clave Única del Gobierno que facilita el Phishing

Fernando Lagos cuenta a TecnoGame lo que ocurre con ello y cómo protegerse de ataques informáticos.

La ciberdelincuencia es algo que constantemente está en la red, proceso que ocurre mediante el Phishing o conjunto de técnicas para "pescar" los datos de los usuarios y hacer un mal uso de ellos. Por eso en Tecnogame conversamos con Fernando Lagos, quien nos contó acerca de la clave única del Gobierno.

El director del estudio informático de seguridad "Nivel 4 Security" respondió a varias de nuestras preguntas acerca de lo que denunció en su cuenta de Twitter sobre la debilidad de clave única del gobierno de Chile y posibles ataques de Phishing que puedan sufrir diversos usuarios.

¿Cuál es la debilidad de #claveúnica?

Se conoce como "Open Redirect", lo que permite redireccionar arbitrariamente a un usuario a cualquier sitio web. Esto facilita los ataques de phishing.

¿Cómo descubriste lo mencionado a través de Twitter?

La vulnerabilidad está presente hace años. Cuando me di cuenta de que la estaban explotando y al ver que nadie hacía nada, decidí reportarla al CSIRT (Equipo de Respuesta a Incidentes de Seguridad) del Gobierno. Sigue vulnerable.

¿Cómo un usuario puede caer en “este ataque”?

Un atacante sólo debe preparar un sitio falso. Por ejemplo: clonando la página web de clave única y mandarle un link malicioso al usuario. Imagina que yo clono ese sitio y lo alojo en mi dominio http://mipaginafalsa.com.

Con este link yo puedo hacer que tu entres a mi página:  https://accounts.claveunica.gob.cl/api/v1/accounts/app/logout?redirect=https://mipaginafalsa.com

Si te fijas, el dominio es "claveunida.gob.cl" y tiene HTTPS, entonces un usuario debería confiar en la URL. Sin embargo, al ingresar el sistema te redireccionará sin previo aviso a mipaginafalsa.com. Con eso, el usuario creerá que está en la página de clave única y le entregará las credenciales al ciberdelincuente.

¿Qué consejo le darías a los usuarios que pudiesen caer en este acto de Phishing?

Estar atentos a que si les envían un link de clave única, ese sitio podría ser malicioso. Poner ojo si son redireccionados a una URL distinta a la de un web del gobierno.