SEGURIDAD

Fallos en un cortafuegos anunciado como 'inhackeable'

27 feb 2003 - 00:00CET

Les llev�� s��lo una ma?ana romper el aparato. Dos analistas inform��ticos de Barcelona encontraron fallos irreversibles en AlphaShield, cortafuegos para l��neas ADSL, "100% inhackeable o le devolvemos su dinero", seg��n su publicidad. El verano pasado, la empresa canadiense que lo fabrica convoc�� un concurso, donde ofrec��a un mill��n de d��lares a quien encontrase alg��n fallo de forma remota.

Hugo V��zquez y Toni Cort��s descubrieron que AlphaShield era vulnerable a diversos ataques que permiten a un instruso saltarse las barreras del cortafuegos sin mucho esfuerzo, mediante la inyecci��n de tr��fico fraudulento. "El fallo no tiene soluci��n, porque no es de software sino de dise?o", afirma Hugo V��zquez.

M��s informaci��n

Aunque el aviso ha aparecido en populares sitios de seguridad como Bugtraq o The Register, la empresa sigue haciendo publicidad del aparato en su web como "inhackeable" y ganador de diversos premios. La empresa asegura en una nota de prensa que el procedimiento para dar con el fallo no ha sido correcto, ya que no se basa en un escenario real.

Hugo V��zquez se defiende: "No se trata de evaluar cuan dif��cil de explotar es la vulnerabilidad, sino de determinar si realmente existe. Y existe".

V��zquez recuerda que la empresa canadiense presentaba su aparato como la soluci��n m��gica a las conexiones ADSL para usuarios caseros.

"Se preparaban", a?ade, "para realizar un concurso este verano, de un mill��n de d��lares, iba a ser El Concurso, aunque nadie sabe si se celebr��. Entonces, pedimos una unidad de prueba a Canad��. Nos la enviaron con los chips tapados con esmalte negro, para que no vi��ramos cu��les eran. Pat��tico. Lo venden a unas 10 veces por encima del precio de coste del producto". El aparato, seg��n V��quez, "deber��a realizar un seguimiento de las conexiones que realiza el usuario al que protege. Si visita una p��gina web, deber��a identificar el tr��fico leg��timo entre el servidor y el cliente y permitir s��lo ��ste. Pero el seguimiento no se produce y un atacante puede inyectar tr��fico no autorizado, comprometiendo as�� la comunicaci��n. Tambi��n dice que protege de troyanos, pero no de los que se conectan desde dentro. Tardamos menos de dos horas en ver el problema".

No es ��sta la primera vez que un producto probado en un concurso, fraudulento o no, acaba con fallos al descubierto. El cript��logo Bruce Schneier avis�� en su momento de que "una tecnolog��a no es necesariamente segura por que nadie la haya vencido durante una competici��n de hacking".

Tu suscripci��n se est�� usando en otro dispositivo

?Quieres a?adir otro usuario a tu suscripci��n?

A?adir usuario Continuar leyendo aqu��

Si contin��as leyendo en este dispositivo, no se podr�� leer en el otro.

?Por qu�� est��s viendo esto?

Flecha

Tu suscripci��n se est�� usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripci��n a la modalidad Premium, as�� podr��s a?adir otro usuario. Cada uno acceder�� con su propia cuenta de email, lo que os permitir�� personalizar vuestra experiencia en EL PA?S.

En el caso de no saber qui��n est�� usando tu cuenta, te recomendamos cambiar tu contrase?a aqu��.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrar�� en tu dispositivo y en el de la otra persona que est�� usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu�� los t��rminos y condiciones de la suscripci��n digital.