Send us a Tip!ShopSubscribe
Tecnología, ciencia y cultura digital
We may earn a commission from links on this page
Search

El grupo tras el hack a El Corte Inglés explica cómo accedió a sus servidores

By
Carlos Zahumenszky
We may earn a commission from links on this page.

Se hacen llamar La Nueve, y son el grupo de hackers responsable de la reciente filtración masiva de las cuentas de patrocinio y relaciones públicas de El Corte Inglés. Los hackers, que están vinculados a Anonymous, han publicado un interesante relato de cómo accedieron a los datos de la compañía.

Watch
Por qué todos los huracanes giran en la misma dirección
Subtitles
  • Off
  • English
Hemos ido a ver la cámara digital más grande del mundo y sí, es muy grande
November 20, 2018
Por qué encoge tu ropa cuando la lavas (y cómo puedes evitarlo)
December 15, 2022
Advertisement

Independientemente de que los datos encontrados sean más o menos escandalosos, el cómo se obtuvieron es una historia que merece ser leída, aunque solo sea para entender la importancia de la seguridad en las redes de empresa.

Advertisement
Advertisement

La Nueve no recurrió a ingeniería social para acceder a la información. En otras palabras, no se aprovechó del despiste de un empleado para obtener una contraseña de acceso fácilmente. El proceso que terminó en la filtración de cinco ejercicios presupuestarios con todo lujo de detalles llevó meses y requirió de un exhaustivo análisis de la infraestructura online que utiliza la compañía.

Cuanto más grande es una red informática, más posibilidades tiene de sufrir vulnerabilidades, y la de El Corte Inglés era una aplicación de terceros para la gestión de contenidos de una compañía llamada Acceso. La aplicación contaba con varios puntos débiles en forma de mala gestión de los nombres de URL. A la postre, La Nueve encontró el resquicio que necesitaba: una dirección vulnerable a un ataque mediante inyección de código SQL. El resto es historia.

El grupo de hackers concluye explicando por qué eligió El Corte Inglés como objetivo de sus ataques:

Seguimos considerando como objetivos válidos de nuestras acciones cualquier desarrollo, aplicación, o servicios online de ECI o cualquier otro entramado empresarial que se distinga por el maltrato y/o abuso de sus trabajadores, la ocultación, corruptelas, nazi-fachas y/o asociaciones o medios de comunicación vendidos a un sistema donde sólo el poder y la economía priman sobre otros valores. El conocimiento debe ser libre y la información liberada. ¡Esperadnos!

Advertisement

En el Tumblr del grupo tenéis todos los detalles técnicos sobre el hack más sonado en lo que va de año. [vía La Nueve]

Advertisement

***

Psst! también puedes seguirnos en Twitter y Facebook :)