Tiempo estimado de lectura: 4 minutos.ㅤ
Todo comenzó un día de verano que parecía normal, estaba en el gimnasio después de haber hecho Selectividad y ya disfrutando de mis vacaciones, mientras hablaba con un buen amigo abogado. Él me comentó que un conocido suyo había encontrado una forma, la cual él desconocía, de ver su nota antes de tiempo, durante su viaje de fin de curso. Sin dar muchos detalles, despertó en mí la curiosidad, pero no le dí mucha importancia.
El día de las notas de Selectividad
El día en el que las notas debían publicarse oficialmente, me desperté un poco antes de lo normal, alrededor de las 7:30, con un ligero nerviosismo. Impacientado por la expera decidí explorar la página, en busca de algún método para ver mi nota antes de tiempo.
La web era bastante sencilla y mostraba tres formularios distintos: uno para la prueba ordinaria, otro para la prueba extraordinaria y otro para mayores de 25 años. Sin embargo, a esa hora solo estaba accesible el formulario para mayores de 25 años. Con algo de intuición, me puse a inspeccionar el código de la página.
Al explorar el HTML, descubrí un fallo técnico importante en el sistema de publicación de notas. Aunque los formularios HTML no se activaban hasta las 8:00, los archivos PHP que procesaban estos formularios ya estaban activos y accesibles. Esto significaba que, aunque el formulario ordinario no se mostraba, cualquiera que conociera la ruta de los formularios PHP podía acceder a ellos con una simple modificación de código.
Además, la vulnerabilidad iba más allá de tener los archivos accesibles: el sistema de nombres de los archivos PHP seguía un patrón lógico y predecible. El formulario para mayores de 25 años se llamaba login_pm25.php, lo cual sugería que el formulario de la prueba ordinaria probablemente se llamaría login_po.php. Así que, usando este patrón, no fue difícil modificar el formulario y enviar una petición que apuntara al archivo PHP correcto.
Entonces, copié el formulario de mayores de 25 años, modifiqué el archivo de destino en el HTML para que apuntara a formulario_po.php, y con mi usuario y contraseña pude acceder y ver mi nota antes de que se activara el acceso público.
La llamada inesperada
Apenas unas horas después, alrededor de las 12 del mediodía, mi madre recibió una llamada de un hombre que se identificó como miembro del equipo de seguridad de la UCO. Al parecer, habían detectado mi acceso, pero en lugar de amenazarme o imponerme sanciones, él estaba sorprendentemente agradecido. Felicitó a mi madre y le pidió hablar conmigo, aunque por miedo no volví a contactar en ese momento.
Un año después de Selectividad: la conversación pendiente
Un año después, decidí tomar el teléfono y llamar al número de contacto para explicar cómo había accedido a mi nota. Hablé directamente con el coordinador de seguridad, quien me felicitó nuevamente y agradeció la información, pues al aproximarse una nueva Selectividad, querían evitar fugas de datos similares.
Esta vulnerabilidad, aunque me permitió ver solo mi nota, representaba un posible riesgo para la privacidad de otros estudiantes. Aunque no exploté el fallo para ver las notas de otros, el simple hecho de haber podido acceder antes de tiempo ya era una señal de que el sistema necesitaba reforzarse.
Una dramática conclusión
A veces, lo que comienza como una simple curiosidad puede llevarte a ser la primera persona en saber tu nota de Selectividad. A pesar de haber informado sobre este fallo y que la UCO haya corregido el problema de visibilidad en los formularios, aún quedan algunas vulnerabilidades visibles. Por eso, animo a quienes identifiquen fallos a hacerlo siempre de forma ética y notificarlos a los responsables. Este tipo de contribución puede ayudar a evitar futuras violaciones de privacidad y a mantener la seguridad de todos.
Deja una respuesta