Algunos de los sistemas implantados por la compañía Hiberus, matriz de Sicomoro, presentan graves vulnerabilidades según desveló El Confidencial
La dificultad que la empresa Sicomoro está demostrando para poner a la venta las localidades de la temporada de primavera del Gran Teatro Falla puede ser un problema menor comparado con el que puso al descubierto El Confidencial el pasado mes de mayo. La empresa dejó al descubierto los datos de 4,5 millones de visitantes de la Alhambra. Y esta no era la primera vez que le ocurría a la compañía tecnológica.
El grupo de hackers La9, vinculado a Anonymus, detectó el pasado año una vulnerabilidad en el software de la companía que fue confirmado por el equipo de Teknautas, la sección de tecnología y ciencia del digital El Confidencial.
Números de cuentas corrientes, contraseñas, nombres y apellidos, teléfono móvil, ‘e-mail’, dirección postal… datos sensibles que en manos inadecuadas pueden ocasionar graves problemas a aquellos que obtuvieron entradas a través del portal de venta del monumento nazarí, gestionada por Hiberus y Sicomoro, ambas del mismo grupo empresarial ya que el 51% del accionariado de Sicomoro pertenece a Hiberus.
Pocas horas después de la publicación del artículo de El Confidencial la empresa difundió una nota de prensa que fue recogida por multitud de medios, entre ellos El País, en el reconocía haber sufrido un «ataque informático profesional y organizado», pero sin achacar el mismo a ningún fallo propio ni vulnerabilidad de su sistema.
Al poco tiempo la empresa subsanó la vulnerabilidad en la web de la Alhambra, pero Teknautas pudo comprobar como en otros portales de museos y venta de entradas para eventos de Hiberus los problemas persistían.
Otro sistema de Hiberus, el de las tarjetas recargables para viajar en el autobús urbano y el tranvía de Zaragoza, fue presuntamente hackeado para permitir recargas gratuitas mediante una aplicación fraudulenta. Los universitarios de la capital maña pagaban 10 euros a una persona para recibir recargas de 50 euros o bien compraban la aplicación por 300 euros, según información publicada en El Heraldo.
El Confidencial pudo comprobar también como «con cuatro clics» quedaban al descubierto los datos de 2.000 personas que había adquirido entradas en la web Arte y Ocio, ya inactiva, creada para la venta de localidades de espectáculos celebrados para conmemorar los 800 año de los Amantes de Teruel.
Hiberus también gestiona la venta de entradas para el Museo del Prado, pero en este caso sin que se conozca que el sistema presente ningún problema.
Un error de primero de hacking
La vulnerabilidad que afectaba a la web de la Alhambra y otros portales de la compañía se denomina ‘inyección SQL’. Hablando en lenguaje llano los formularios que rellenamos en Internet acaban almacenados en una base de datos relacional. Para tratar esos datos, ya sea añadir datos nuevos o consultar los existentes se emplea un lenguaje llamado SQL. Es decir, detrás de un formulario web existe un lenguaje que no vemos pero que permite que los datos que introducimos en las casillas se incorporen a una base de datos.
El problema es que si en las casillas del formulario introducimos código SQL en lugar de valores, el sistema de Hiberus ejecutaba ese código intruso. Por ejemplo si en la casilla nombre, en lugar de escribir ‘Alicia’, introducíamos en lenguaje SQL algo equivalente a ‘muéstrame los datos de la tabla PAGOS’ el sistema no detectaba ese código como intruso y ejecutaba la consulta, mostrando el contenido de esa tabla.
«Un error de primero de hacking», según confirmaron especialistas consultados por Teknautas.
Otro problema que presentaban estos sistemas de Hiberus es no diponer de un WAF, un cortafuegos que protege a los servidores web de determinados ataques, como el de ‘inyección SQL’, entre otros.
Tampoco seguían una práctica recomendable como volcar la información del servidor en sistemas aislados. Por regla general, los servidores web almacenan la información de las transacciones de unas pocas horas o días. De este modo ante un posible ataque el robo de datos se limita a las últimas anotaciones, quedando a salvo las anteriores.
Sicomoro presentó la oferta más barata
Sicomoro Servicios Integrales, S.L. obtuvo la adjudicación de la venta de entradas del Gran Teatro Falla en base al precio. La valoración de las ofertas presentadas constaba de dos partes. Una subjetiva, con la descripción de las acciones que la empresa adjudicataria planteara sobre publicidad, captación y fidelización de clientes. Otra objetiva, donde se valoraba la oferta económica.
La parte subjetiva tenía una puntuación máxima de 7 puntos, que fue los que se llevó la empresa gaditana Tickentradas, al presentar de manera detallada las acciones publicitarias y de otra índole que se comprometían a realizar para fomentar la venta de localidades.
Sicomoro, por su parte, obtuvo 2 puntos en este apartado al contar con una descripción más genérica, sin detenerse en describir acciones concretas. Al menos es lo que se desprende de las actas firmadas por los integrantes de la Mesa de Contratación a la que ha tenido acceso este medio y que fue presidida por Ana Camelo.
La tercera empresa, Impronta Janto Ticketing, obtuvo 0 puntos en este apartado. Además, esta última empresa fue excluida del proceso de licitación al incumplir una de las condiciones del pliego. La licitación estipulaba un periodo máximo de 72 horas desde la firma del contrato hasta la puesta en marcha del servicio de venta de entradas. Impronta se comprometía a poner en marcha el sistema en 30 días, motivo por el que fue excluida.
Con una desventaja de 2 puntos contra 7 a favor de Tickentradas fue en la apertura del tercer sobre, el de la oferta económica, donde la empresa zaragozana se hizo con la adjudiacación del contrato.
En este apartado, el de valoración objetiva, Sicomoro aplicaría una comisión a la Sección de Teatros del 0,01%, en lugar del 1,80% de Tickentradas. Una rebaja sustancial de la empresa zaragozana.
En cuanto a la comisión aplicada a los compradores, Tickentradas volvía a ser la mejor oferta, cobrando 1,16 euros más IVA por entrada de precio mayor a 6 euros y 0 euros de comisión para aquellas cuyo precio fuera menor de 6 euros.
Por su parte, Sicomoro proponía cobrar 1,30 euros por entradas de más de 6 euros y 0,05 euros para aquellas de precio inferior. A ambas cantidades abría que añadir el IVA.
Con todo esto Sicomoro se hizo con un contrato, como es sabido, que todavía no ha sido capaz de cumplir.