in ,

Entrevista al responsable de hackear iWiks en 10 minutos el día de lanzamiento

Hace algunos días se comentaba en muchos medios el inminente lanzamiento de la iWiks “primera” red social Mexicana, que prometía combinar funciones de ebay, Facebook, Twitter,a demás de ser súper segura, funcional y minimalista. Algunos medios la consideraban sin conocer más detalles como la sustituta de estos medios y al “CEO” de la misma como un émulo de Mark Zuckerberg. La realidad es que la nota termino siendo que el sitio sólo duró al aire unos cuantos minutos antes de ser exhibida en cuestiones mínimas de seguridad.

Pues bien, en Isopixel nos dimos a la tarea de entrevistar a Rafael Soto aka @faelazo, responsable de exhibir que iWiks estaba muy lejos de lo que prometía. Primero porque se anunciaba como la primer Red Social mexicana, cuando antes han existido otros antecedentes. Segundo porque presumía de ser súper segura y tercero por que el diseño y el proyecto en general no estuvieron a la altura de los que invirtió en publicidad y relaciones públicas.

Sin más, aquí aquí les dejamos la entrevista:

Isopixel: Primero que nada ¿Cuál es tu nombre y a que te dedicas? Una breve introtucción tuya nos pondrá en antecedentes

@faelazo: Soy Rafael Soto y soy un poco de todo: Lic. en administración, geek, autodidacta de tecnologías web, blogger desde hace 8 años (therror.com), entrepeneur (ropero.mx), estudio la maestría en mercadotecnia y me dedico a la consultoría y asesoría.

Isopixel: ¿En qué momento cae iWiks en tu radar?

@faelazo: El mismo viernes en la mañana, revisando los periódicos digitales.

Isopixel: Podrías explicarme brevemente que fue en realidad lo que hiciste con iWikis? Entiendo que no fue propiamente un hackeo.

@faelazo: Pude lograr dos cosas: logré una prueba básica de XSS y accesé a la cuenta de uno de los administradores (aunque al parecer no tenía ningún privilegio especial).

Isopixel: ¿Qué te motivo a hacer lo que hiciste?

@faelazo: Probar la seguridad de la aplicación. Desde el login y el registro no me pintó muy profesional; todos los campos eran obligatorios, fallar una vez significaba volver a empezar desde el principio e incluso pedían una foto de perfil.

Isopixel: ¿Que opinas en general de iWiks en temas de diseño, usabilidad, seguridad,AI, etc.? Según leo fuiste de los pocos que pudo ver su interfaz.

@faelazo: No había nada de inteligencia artificial. Empezando con la idea, incoherente con la ejecución final. Se decía de una red social que nos ahorraría tiempo, minimalista y no sé qué tantas cosas. De entrada, los patrones de diseño básicos de una red social (agregar amigo) no estaban disponibles hasta horas después y no resaltaba tanto como debería.
Minimalista? difícilmente, básicamente había 4 secciones: mi casa, mi calle, mi mundo y mercado. Las tres primeras eran un wall de facebook, cuál era la diferencia entre una y otra? quién sabe, nunca entendí. En mercado sólo aparecían categorías. Realmente no lo probé.

Pasar mi identificador de usuario era imposible, ya a las cansadas lo hallé y era un código hexadecimal muy largo. En cuestión de diseño, no se notaba un esfuerzo y el HTML era terrible; estilos inline por todos lados.

Ahora sí, a lo que vamos: seguridad. En una palabra? Pésimo. Todo estaba en campos ocultos, cuando mandabas un mensaje privado, había un campo oculto “de” que tenía tu identificador. Entonces si conocías el de alguien más podías mandar un mensaje como otra persona, y esto en cada una de las secciones. Con javascript se podía crear un worm tipo el de MySpace de hace unos 5 años, pero con mucho menos esfuerzo.

Al final el servidor tuvo una carga tan pesada que tardaba más y más en responder hasta que respondía con un error 500, poco después ya no estaba la aplicación, dando un error 404 en todos lados.

Isopixel: Finalmente ¿Que le recomendarías a las personas qu desean innovar en Internet para que no pasen los mismos apuros similares?

@faelazo: No vender humo ni hype, tener una ventaja competitiva real (es que es mexicana no es válida) y tener una visión muy concreta de lo que se quiere realizar.

Ya con esto, rodearse de gente con experiencia para evitar ser chamaqueados, ser muy críticos en el trabajo (las imagenes no estaban redimensionadas por lo que cargaban muy lento, alguien debió haber preguntado: “porqué cargan tan lento?”), probar, probar y probar (con esto se hubieran dado cuenta que mi casa, mi calle y mi mundo era triplicar las funciones), tener un producto central que es el que va a llevar de frente todo el esfuerzo y otra vez, criticarse en función de los mejores: era una foco rojo que todas las formas estuvieran desalineadas. Si no hay cuidado en este tipo de detalles, cómo los podríamos esperar en seguridad?

Hasta aquí la entrevista. Es importante aclarar que @faelazo no tiro el sitio, sino que simplemente se limito a acceder muy fácilmente a una de las cuenta de los administradores. Si les interesa el tema, acá pueden seguir una cronología de los hechos narrada por él mismo. Resulta elocuente la facilidad con la que lo hizo.

No olvides seguirnos y comentar en Twitter y Facebook

Por Raúl Ramírez

Tech journalist, diseñador, blogger, marketing digital. Editor en jefe en http://isopixel.net. Colaboro en @Nibble20. Speaker, marketing, gadgeteer & serial geek.