La historia del enlace de Twitter que colapsó el servicio de emergencias 911 de Estados Unidos

El pasado mes de octubre los centros de emergencias de Estados Unidos que se activan con las llamadas al número 911 se colapsaron sin que nadie supiera a ciencia cierta qué había pasado: de repente los operadores comenzaron a ver cómo el grosor de llamadas acababa colapsando un servicio que da soporte a todo el país y que luego es crítico.

¿Cómo pudo ocurrir? El responsable fue un pipiolo de 18 abriles que investigaba la seguridad de iOS y que detectó un método para que los usuarios del iPhone que hicieran clic en un enlace en Twitter convirtieran sus smartphones en zombies miembros de una curiosa botnet: una que no paraba de aldabear al 911 sin control. Podía acaecer sido mucho peor.

¿Cómo se colapsa un servicio de emergencias?

El sistema de respuesta a emergencias se encarga de objetar 240 millones de llamadas al año según una consultora, y esas llamadas se distribuyen en 6.500 centros que se gestionan por parte de las autoridades locales y que al punto que cuentan con soluciones tecnológicas modernas: muchos siguen dependiendo del tradicional par trenzado de cobre, tan solo algunos pueden admitir mensajes de texto y muy pocos pueden averiguar la ubicación de la persona que fogosidad.

Iphone1

Un estudio de investigadores de ciberseguridad en la Universidad Ben-Gurion de Israel ya había avisado del peligro de esa errata de defensa tecnológica en este sistema de emergencia: con 6.000 smartphones “zombies” se podría colapsar el servicio lanzando una especie de ataque de denegación de servicio “en formato telefónico”.

Durante la indeterminación del suceso, una de las operadoras logró encontrar la primera pista: una de las personas que estaba llamando sin control explicó que no era, sino su iPhone, que comenzó a aldabear al 911 repetidamente luego de acaecer hecho clic en un enlace que había gastado en Twitter. Ese enlace había sido acortado con el acortador de enlaces de Google.

Tras seguir esa pista las autoridades arrestaron al becario de Twitter @SundayGavin, cuya identidad positivo era Gavin Hasler, de 18 abriles. Le arrestaron, pero él explicó que él solo había retuiteado el enlace a sus 1.200 seguidores. Como otros tantos, él había sido una víctima más de un disimulo que se convirtió en vírico —algunos aseguraban que el enlace llevaba a una tira de nuevas canciones del actor Drake— y acabó infectando a miles de personas que usan un iPhone.

Buscar fallos en iOS puede salir muy caro

Según los investigadores se hicieron 117.502 clics en ese enlace, y cada vez que un becario de un iPhone lo hacía, su móvil se convertía en el involuntario origen de una emplazamiento de emergencia al 911. Tras seguir la pista se encontró el tuit diferente en el que se publicitaba una página web con el mensaje “LOLOLOLOLOLOLOL” (LOL es el siglas de “Lots Of Laughs“, poco así como “me río a carcajadas”). Al consultar el propietario del dominio de la página con el servicio Whois.com, las autoridades localizaron al responsable de la creación de esta botnet.

911 2

Ese responsable era Meetkumar Desai, un pipiolo estudiante de informática de 18 abriles que tras ser arrestado argumentó que estaba en un software de bug bounty (búsqueda de fallos software) de Apple. La empresa de Cupertino negó esa afirmación, pero lo cierto es que el pipiolo encontró en impresión un decreto en iOS que hacía que tras pinchar en ese enlace los iPhone llamaran al 911, poco que no ocurría si el becario de Twitter pinchaba en el enlace desde Android o desde un PC con Windows.

Apple ha afirmado que está preparando un parche para corregir el problema que efectivamente existía, y no le pagará ningún tipo de premio al Sr. Desai, que encima se enfrenta a una potencial condena que va desde la condicional hasta 12 abriles y medio de prisión. El test le puede acaecer saledizo muy caro, pero como indicaban en The Wall Street Journal, el problema podría acaecer sido mucho más circunspecto si ese tipo de inseguridad hubiera sido aprovechada para fines en realidad maliciosos.

Vía | WSJ
En Xataka | La gran inseguridad del Internet de las cosas, la culpable del ataque DDoS que noqueó la web


Source link

deja tu opinion

Seguinos

Tecnoblog en las redes sociales