viernes, 15 de junio de 2018

La prueba de Selectividad en Extremadura no fue filtrada, fue una acción realiza aposta y de forma consciente

El miércoles 6 de junio fue un día difícil para la Universidad de Extremadura. Sobre el suceso de la supuesta filtración de exámenes de Selectividad en Extremadura, se ha escrito mucho en eldiario.es, en la Tribuna de Ávila o en El País, pero el titular que más me llamó la atención fue el del diario ABC, el que aseguró que se iban a repetir los exámenes debido a un hackeo. En este post vengo a aclarar lo que sucedió y del por qué no fue un "hackeo" tal y como asegura el diario ABC y otros periódicos de ideología similar. La casualidad.


Es un insulto a la inteligencia de cualquier administrador de sistemas, decir que lo ocurrido es un hackeo. Además de un insulto, es algo totalmente falso, y al tratarse de una acusación grave que se demuestra que es falsa, la condena debería ser ejemplar.

Pero vamos primero con los hechos. Varias fuentes aseguran que el miércoles a las 11:00 de la mañana, llegó un correo a la Universidad advirtiendo de que se podía acceder a los exámenes de Selectividad sin demasiados conocimientos informáticos, solamente siguiendo enlaces. Esto es importante. No me preguntéis por qué si reciben ese correo a las 11:00 de la mañana, hasta las 17:00 de la tarde de ese mismo día, no se soluciona el problema, una hora a la que los exámenes de ese día ya llevaban terminados 2 horas y media-3 horas terminados. Aquí hay algo que no huele del todo bien.

La Universidad también ha dicho que ha detectado 14 accesos no autorizados a ese enlace de la web con la descarga de las preguntas del examen. 14 alumnos y alumnas son muchos. 1 persona pasa por hackeo o por mera suerte, pero 14, eso no es hackeo, eso es que sabían a dónde tenían que ir.

Recordemos también que ahí las mejores notas, son los que acceden, por lo que si hubiese accedido una persona, me resulta difícil de creer que esa persona haya ido diciendo "oye, en este enlace están las preguntas". Eso le podría perjudicar en la nota, pues tendría mayor competencia, y en España se enseña a ser competitivos a niveles enfermizos.

Otra cuestión es que seguir un enlace, no es hackeo. Que yo entre en una web, no es que la esté hackeando, por lo que el titular del ABC es absurdo. Si hubiese sido un hackeo de un hactivista, lo más seguro es que hubiese publicado ese enlace en cualquier rincón de internet, y el número de accesos sería mayor. No cuela.

Otros medios aseguran que ha sido un error, pero que haya sido un error, me cuesta de creer, dado que sé cómo funcionan los servidores y las aplicaciones webs en general.


Posibilitar la descarga de un fichero mediante PHP, no es muy complicado, son 3 líneas de nada y asegurarnos de que la carpeta donde se están almacenando los archivos, tiene los suficientes permisos.



Una vez que visitas el enlace, se te abre una nueva ventana donde te pregunta dónde descargar el archivo. Y es esto lo que ha pasado, la gente que ha seguido el enlace, ha conseguido descargar el examen con las preguntas, no hay más, es visitar un enlace, nada fuera de lo normal.

¿Qué es lo que pasa? Que la Universidad asegura que los exámenes se guardaron en una carpeta "sin privilegios", de ahí que digan "accesos no autorizados", si no tienes permisos para descargarlos y accedes, es un acceso no autorizado, ergo no te está permitido descargar esos ficheros.

Pero hemos visto en capturas anteriores, que si conseguimos descargar el fichero es porque la carpeta tiene todos los permisos necesarios. Recuerdo que estamos ante unas pruebas donde la confidencialidad del examen es fundamental, por lo que revisar los permisos de la carpeta antes de guardar el archivo, me parece algo básico. Pero no pasa nada, ahora cada vez que un profesor recrimine a un alumno que "No ha revisado" el examen antes de entregarlo, tendrá que cerrar la boca, ya que este problema, vamos a decir que ha sido provocado por no revisar.


Con cambiar los permisos de 777 a 700 ya basta para que no se permita el acceso a los usuarios. Así de sencillo. No es muy complicado, por lo que la excusa esa del error me huele raro.

Pero supongamos que es un error ¿Cómo sabían esos 14 usuarios el enlace de descarga? Yo me he pasado un rato en la web de la Universidad buscando los horarios de selectividad y, o no están o lo tienen muy mal administrado, ya que es un caos encontrar cualquier cosa en esa web, por lo que un alumno o una alumna que está más centrada en repasar para el examen en el que se juega su futuro, no creo que pierda mucho tiempo sin saber si hay un examen dentro de la web.

La excusa de "uno lo encontró y pasó el enlace" no me vale. Para empezar porque no está demostrado, y segundo porque de hacerlo por un grupo, los accesos serían mucho mayores. Pensemos, es pasar una foto por un grupo de Whatsapp y ya vuela, os podéis imaginar un enlace con los exámenes de selectividad.

Después está el tema de que tardasen desde las 11 de la mañana hasta las 5 de la tarde de ese día en aplicar la solución, cuando la solución era cambiar de 777 a 700, así de sencillo. Bueno, eso o eliminar el puñetero archivo. No es muy difícil.

¿Qué es lo que me parece todo esto a mi?

Muy sencillo. Lo que me parece es que un profesor de la Universidad conocía a un grupo de estudiantes que se iba a examinar, y o él o un amigx de la universidad publicó los exámenes en la carpeta con todos los privilegios. Ese profesor o profesora, dio el enlace a ese grupo de alumnos y/o alumnas y el resto es historia. No tiene sentido otra explicación, y más cuando se tardaunas 7 horas en solucionar un problema muy sencillo de solucionar.


Yo lo que pido es que, para aclarar todo el follón, la Universidad publique los logs del sistema-sin modificar, por favor- de ese día, ya que lo normal es que, cuando subes un archivo y no quieres que sea público, lo normal es visitar ese enlace, y en los logs de Apache, concretamente en el error .log, veremos que se ha intentado acceder a la carpeta exámenes pero que ha dado un error de permisos.


Por supuesto, si a la hora a la que se subió el documento, se encuentra en el access.log una conexión exitosa, pero a los minutos después, ningún error en error.log, eso significaría que la persona en cuestión accedió para comprobar si se podía descargar o no el documento, vio que se podía y no hizo nada para solucionarlo.

La forma de probarlo es muy sencilla, yo les doy una oportunidad de demostrar que realmente fue un error, la pelota está en su tejado ahora mismo.

Por cierto, la posición de la Universidad ahora es complicada, ya que cualquier ERROR de los alumnos en los exámenes, se deberían pasar por alto ¿no? Pero bueno, veremos si en los próximos días publican o no los logs.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...