Jueves, 15 de octubre de 1998 Las 10 mejor valoradas

Descubiertos fallos de seguridad en el navegador de Microsoft Un ingeniero español descubre sistemas para acceder a la información de los ordenadores de los internautas PEDRO DE ALZAGA Juan Carlos Cuartango, un ingeniero español de 38 años, acaba de saltar a la fama en la comunidad de internautas por el descubrimiento de varios fallos de seguridad en Internet Explorer, el navegador de Internet de Microsoft. El "Agujero Cuartango", como ha sido bautizado por su descubridor, es el fallo que permite a un servidor de Internet extraer la información de los ordenadores de los internautas que naveguen por sus páginas web. La "ventana Cuartango" y el "hack del correo" son otros métodos para que terceras personas puedan acceder sin nuestro consentimiento a la información de nuestro ordenador. La página web en la que Cuartango explica en qué consisten los fallos ha recibido en los últimos días miles de visitas de curiosos. Sus descubrimientos han inundado los grupos de noticias especializados de Internet, han aparecido en los medios electrónicos más influyentes de la comunidad de Internautas e incluso han saltado a las portadas de algunos rotativos estadounidenses. Cuartango asegura que el servicio técnico de Microsoft en EEUU ha confirmado la existencia de estos fallos, no sin cierta acritud porque el ingeniero no les hubiera avisado antes de dar a conocer sus descubrimientos a la comunidad de internautas. Fuentes de Microsoft España consultadas por EL MUNDO se han remitido a la postura oficial de la empresa de Bill Gates, donde se admite el problema, aunque rebautizado como "Vulnerabilidad Cuartango". Pese a que la empresa de Redmond afirma no haber recibido quejas de los usuarios al respecto, anuncia que el "parche", o programa que solucionará el problema, estará disponible la próxima semana. Mientras tanto, Microsoft recomienda a los usuarios desactivar en sus navegadores la posibilidad de ejecución de programas de red. Para Juan Carlos Cuartango, este tipo de fallos no son producto de la mala intención de los fabricantes, sino del "ritmo del mercado, que obliga a las casas a sacar nuevas aplicaciones, sin apenas tiempo para probarlas". El ingeniero español cree que, por el momento, no existe un sistema absolutamente seguro. "Cada nueva función que se añade al navegador es una entrada en potencia al sistema"asegura. La única recomendación que puede dar a los internautas es que tengan cuidado. "Descubrir este tipo de fallos requiere conocimientos técnicos: analizar el código, cambiar la configuración del navegador, etc". El "hack" del correo Este fallo se produce al utilizar Internet Explorer y Outlook Express (instalado como complemento del navegador). Imagine que durante sus paseos por Internet entra en una página que le ofrece una camiseta a cambio de enviar sus datos por correo electrónico. Al pulsar con el ratón en el enlace, aparece ante nosotros un nuevo mensaje sobre el que teclear nuestros datos. Hasta ahora, todo funciona como en cualquiera de los enlaces correo de la Red. La diferencia es que si echa un vistazo al final del mensaje, comprobará que hay un archivo asociado al mismo, un archivo que pertenece a su disco duro y llegará a manos del destinatario, si usted decide enviarlo. El "Agujero Cuartango" Es el segundo y más famoso de los fallos encontrados por el ingeniero español. Existen servidores de Internet que permiten a los usuarios el envío de archivos (documentos, gráficos, etc.) a través de formularios en páginas web. El internauta introduce el nombre del archivo -y su localización en el disco duro- y pulsa el botón para enviarlo. Para evitar que algunos programas (scripts) "escriban" por su cuenta el nombre del fichero y pulsen el botón de envío, los navegadores disponen de ciertas limitaciones para que sólo el internauta pueda escribir texto en un campo de formulario de envío de archivos. No obstante, a la hora de diseñar estas limitaciones, no se tuvo en cuenta la posibilidad de que un programa, en lugar de escribir, utilizara las conocidas funciones de "copiar" y "pegar" para colocar el nombre del fichero en el campo de entrada, y, acto seguido, pulsara el botón de envío. El confiado internauta no se percataría de que la información de su disco duro es enviada a la Red. La "Ventana Cuartango" Algunos usuarios de Internet Explorer se han encontrado alguna vez con una advertencia que solicita al usuario permiso para que un programa de la red se ejecute en su ordenador. El mensaje suele avisar de que se trata de una situación "insegura" y pide al usuario que pulse en alguno de los botones -"Sí" ó "No"-, para autorizar o denegar, respectivamente, el permiso de ejcución al programa. En definitiva, se trata de que el usuario confirme si "confía" en el servidor que nos envía dicho programa, y en que dicho programa no va hacer ningún daño a nuestro sistema. Otra cosa muy distinta sería que un mensaje "Bienvenido a nuestra web, pulse "Sí" para continuar su exploración" se superpusiera a la advertencia anterior, y el internauta, pulsara "Sí" sin saber que está dando permiso a un programa para que trabaje a sus anchas en nuestro disco duro. ¿Cómo saben dónde estan mis datos? Para que un hipotético "ladrón" de ficheros pueda obtener información de nuestro ordenador, tiene que saber exactamente qué información coger, es decir, qué nombre tienen los ficheros que contienen los datos que le interesan. Por ejemplo, si quisiera coger nuestros ficheros de correo electrónico, donde figuran los mensajes que hemos intercambiado con nuestros conocidos, tendría que saber en qué directorio instalamos el programa de correo y qué nombre tienen los archivos donde se almacenan los mensajes. En el caso del programa de correo, suele instalarse siempre en el mismo directorio, por lo que el "ladrón" podría probar con alguna de las localizaciones habituales con la esperanza de acertar el nombre del fichero y poder llevarlo a su ordenador. Pero si quisiera estar seguro de la localización de los archivos, nada mejor que el "registro" de Windows, un fichero donde aparecen referencias a todos los programas instalados en el ordenador y su localización en el disco duro. El "ladrón" de información tendría que obtener primero este fichero y estudiarlo para conocer la disposición de nuestros programas y ficheros en el disco duro. La próxima vez que accediéramos a su página web, sabría exactamente qué ficheros tiene que coger de nuestro ordenador. Diario del Navegante