La multinacional tecnológica española encargada de la comunicación del recuento de votos en tantas convocatorias electorales, tanto aquí como en otros países, pertenece al índice del IBEX 35 desde 1999, seis años después de su privatización con Felipe González al frente del gobierno de España. Su función en esta materia, una vez contabilizadas las papeletas de forma manual delante de interventores y apoderados de los distintos partidos tras el cierre de los colegios electorales, y elaboradas y comunicadas las actas, consiste en digitalizar los resultados. Por este motivo es tan importante la revisión de los resultados comunicados, actas en manos, por una comisión independiente.

Por este, y porque según los resultados de las investigaciones alrededor de la operación Lezo llevadas a cabo por la Guardia Civil Indra ha desviado 600.000 euros públicos al PP, el partido actualmente al mando del gobierno central. ¿Qué fiabilidad puede tener una de las principales responsables de la financiación ilegal de la organización criminal al mando del Estado español?

¿Pero dónde hemos penetrado exactamente?

En iParticipa. Buceando en los servidores y aplicaciones de Indra conectados a la Red (que no todos lo están) nos llamó la atención el concepto de Cloud que se explica en la plataforma iParticipa (más información aquí y aquí), un proyecto en desarrollo que utilizaba Azure de Microsoft como centro de operaciones, diseño y programación de la idea.

Azure e iParticipa eran, además, dos escenarios con los que poder jugar al “Red Team” y darle un poco de caña a la gente de los “Blue Team” de respuesta inmediata ante ataques cibernéticos (guiño guiño) de los que tanto gusta alardear hoy a la señá Cospe y a Mariano. Nos armamos de paciencia y unas cajas de Coronas, y abordamos una auditoría a la corruptísima empresa del IBEX35. Y todo esto, por medio de un nuevo fichaje que, como la anterior becaria ascendida a redactora que escribe estas líneas, apunta maneras ;-)

¿Y por qué iParticipa?

La explicación sencilla es porque en una búsqueda somera detectamos una “vinculación” entre elecciones (electoral processes) e iParticipa, y porque era una plataforma concebida  para ofrecer a organismos, administraciones y empresas (gobiernos incluidos) un modelo de innovación con el concepto Cloud. Y además era la menos obvia, ya que parecía algo un poco dejado (y por lo tanto, con menos vigiliancia). Nuestra intención de origen era demostar que la seguridad de los sistemas de Indra adolece de los mismos defectos que otros, y que todos pueden ser vulnerados.

Entonces, para que quede claro: ¿qué podíamos hacer?
Podíamos configurar servidores virtuales (MV/VPS) en diferentes sistemas operativos y utilizarlos como base para lanzar mailbombing, subir malware, webs para phishing, etc.

En un princpio decidimos montar unas cuantas máquinas virtuales pensando que los administradores globales de Indra (grupo indraadmin) estarían pendientes de los logs y nos echarían pronto de allí. Probamos con nombres aleatorios y con distintas opciones: consola interna, ssh, ftp… y comenzamos a dar pistas en redes sociales jugando con la vigencia de los mensajes.

Al final montamos un VPS/MV con una distribución de Kali Linux con la que podíamos hacer pentesting desde IPs “confiables” y que utilizamos para testear distintos objetivos (entre ellos algunas de las auditorias realizadas esa quincena larga como la del caso Nagore). Por poder, hubiéramos podido hasta hacer diabluras que estarían firmadas por Microsoft e Indra… ¡Nosotras y a saber quiénes más!

Otra cosa que también resulta sencilla es utilizar la “seguridad” que ofrece la marca Azure de Microsoft para poner en un dominio azurwebsite una web clonada que simulara el logueo en cualquier aplicación conocida; un perfecto phishing en un host nada menos que de Microsoft. Por ejemplo, generando un acceso web de Apple, con su misma estética, solicitando login y contraseña. Y es que en la url aparece “azurewebsites.net”, lo que da confianza a la usuaria aunque lo que vaya delante no lo entienda o no sepa lo que es. Con esto se pueden conseguir todo tipo de datos como tarjetas de crédito, números de cuentas bancarias, usuarios y contraseñas de otras aplicaciones, números de teléfonos, etc. Por ejemplo se podría crear http://paypalscurity.azurewebsites.net, que con unas mínimas diferencias en el inicio de la url llevaría a la confusión de las receptoras del enlace desde una máquina confiable y segura a todas luces. ¿No se os ocurren otras posibilidades…?

Más información:

Fuente:
https://la9deanon.tumblr.com/