Uno de los proyectos argentinos más ambiciosos y exitosos de los últimos tiempos, en el que se han invertido millones, y en donde un error dejó en evidencia la debilidad de su plataforma, exponiendo la clave de más de 460 de sus usuarios. Sí, hubo un hackeo en sus sistemas que seguramente será difícil de determinar su origen y la manera en que se llevó adelante, pero aún a pesar de eso, el inexplicable error radica en la seguridad empleada en relación a la seguridad de encriptación de las claves de los usuarios de Geelbe, algo tan elemental que sorprende a la comunidad, como se ha expresado por numerosos usuarios de Twitter.

Para que se entienda: las claves tenían un proceso que se basaba en una directiva que convertía “1234” en algo como “15sa1SWDs8sd45”, pero luego existe una misma directiva que trasforma ese supuesto “15sa1SWDs8sd45” en “1234”, con lo cual, si uno tene acceso a la contraseña encriptada codificada (como han señalado en detalle Marcos y Eric en los comentarios a esta nota, que se agradecen muchísimo), básicamente también lo tiene sobre la original. Es un método de codificación conocido como Base64. No había encriptación real de los datos, y estamos hablando de un sitio de comercio electrónico.

Remarquemos y destaquemos, eso sí, que la gente de Geelbe tomó cartas en el asunto de forma rápida, y es que el problema lo generó, más allá del hackeo en sí mismo, la persona que estuvo a cargo del sistema de encriptación de las claves, y esto es lo impresionante, que un negocio del tamaño de Geelbe dependa de la capacidad y conocimiento de una persona, a la que evidentemente no se le analizó correctamente su trabajo, a partir por ejemplo de una segunda opinión.

Asimismo, en lo que respecta a la plataforma de Geelbe, señalar que a través de una de las cuentas afectadas, pudimos comprobar que no se podía además dar de baja la misma, al menos eso pasaba ayer por la noche poco después de que se diera a conocer esta situación. Esto es otro punto que nos preocupó y nos preocupa de cara al futuro de Geelbe. Suponemos que esta funcionalidad estaría siendo “actualizada” y que por eso no pudimos cancelar la cuenta.

Las tecnologías de seguridad están, y son las personas las que cometen los mayores errores. Ya lo observamos en Twitter, cuando se conoció que a partir de que usaban una clave del tipo 123456, se les “metieron” en sus servidores. Hay que reconocer que no es fácil llevar adelante un emprendimiento, y menos aún estar al tanto de cada uno de sus aspectos, pero llama poderosamente la atención este caso de Geelbe, porque este modelo de encriptación, que se supone que es el arma de la seguridad de sus usuarios, se estableció durante la construcción de su plataforma.

Por último, si bien las reacciones de Geelbe fueron rápidas, me hubiera gustado que explicaran estas cuestiones acerca de su seguridad, porque en lugar de hacerlo, optaron por hablar en términos generales de consejos en el uso de contraseñas, algo que viniendo de ellos suena un poco ridículo en estos momentos. Que quede claro: ni la mejor clave que uno pueda imaginar hubiera hecho diferencia en este caso, porque el error estuvo en el modelo de protección de Geelbe. El siguiente es el correo electrónico que recibieron los usuarios que vieron sus contraseñas violadas y expuestas públicamente:

Comparte esta nota, y ayuda a difundirla