La Coctelera

Rodolfo Carpintier Santana

« Planificar los próximos 3 años | Inicio | Trabajar en cualquier cosa con gusto »

5 Enero 2010

De Moncloas, millones y seguridad informática

La noticias de que la Moncloa se ha gastado casi 12 millones de Euros en la Web del Gobierno para los 6 meses de la Presidencia de la Unión Europea se ha convertido en uno de los "Tweets" más celebrados de las últimas 24 horas.

Alguién debe estar en estos momentos pasándolo muy mal, desde ayer que apareció brevemente la imagen de Mr. Bean and vez de la de ZP y hoy que, todavía hasta hace unos minutos, si tecleabas la Web, aparecía un vídeo de Youtube con la noticias de que "Franco ha resucitado", el cachondeo en la red es para, como decía me pobra abuena: "mear y no echar gota"....

El presupuesto para una Web que está siendo hackeada sin problemas desde hace 48 horas es un insulto a la inteligencia del sector y muestra, de nuevo, las limitaciones de este pais nuestros. Hablamos mucho de cambio y nuevos modelos pero, cuando hay que gastar dinero, siempre va a los mismos bolsillos.

En unos cálculos, no muy fiables todavía porque desconozco el SLA (Service Level Agreement) bajo el que están firmados, si es que los tienen, creo que una Web muy buena con el mantenimiento 24 horas y un grupo de acción directa en defensa de la misma, estamos hablando de entre 600.000 euros y el doble, 1,2 millones.

Lo malo de esto no es que se haya tirado la diferencia sino que las empresas que prestan el servicio apenas ganarán dinero por el proyecto porque, al ser relativamente pequeño para su propio tamaño, les cuesta un potosí en mobilización y reajustes de plantilla que no tienen previstos ni puedes hacer sin gran coste.

La solución es que, una pequeña empresa de Internet, o un pool de 3 si se quiere repartir juego, lo hubieran hecho por mucho menos dinero, ganando y generando nuevos puestos de trabajo. Invertidos en una empresa de miles de millones de euros de facturación es una gota de agua, que no les sirve de nada y, además, como no es de su tamaño natural, hacen mal...

servido por Rodolfo 10 comentarios compártelo

10 comentarios · Escribe aquí tu comentario

gimenete

gimenete dijo

Rodolfo, te recomiendo este link para más información sobre lo ocurrido.

http://www.mmadrigal.com/algunos-datos-sobre-el-presunto-hackeo-d...

La web no ha costado 12 millones, sino 400.000. El resto es en otros conceptos. Y la web según tengo entendido no ha sido hackeada, en ningún momento accediendo a la dirección www.eu2010.es se ha visto la cara de Mr.Bean, solo se veía si accedías a una URL especialmente construida para explotar el error de cross site scripting. Lo cual no deja de ser grave, pero no es lo que se está diciendo en diversos medios.

5 Enero 2010 | 02:13 PM

Jose Plana Mario

Jose Plana Mario dijo

Lo siento gimente, pero un ataque XSS es igual de grave que una intrusión "en toda regla". Precisamente por ser una web de tipo informativa, permitir que cualquiera cambie sus contenidos pasando un enlace "raro" desprestigia totalmente la función de esta.
Por cierto, este tipo de fallos se pueden evitar, probablemente con un simple parche que ni se han molestado en aplicar.

5 Enero 2010 | 03:46 PM

gimenete

gimenete dijo

Es grave, pero no igual de grave. No han accedido a la infraestructura de la web, y eso es una gran diferencia.

Y por otro lado la web en portada no había sufrido cambios. Eso no lo dicen los medios ni muchos blogs/twits que he leído.

Simplemente quería recalcar las imprecisiones de la información que nos está llegando de diferentes fuentes.

5 Enero 2010 | 03:58 PM

Germán Piñeiro

Germán Piñeiro dijo

A todo esto... ¿Se sabe cual es la empresa que presta el servicio?

5 Enero 2010 | 04:36 PM

Jose

Jose dijo

A ojos del que acude a consultar la web en busca de información es igual de grave. A ojos del pobre currito que tiene que restaurar el backup y empezar a consultar logs en busca del vector de entrada, obviamente no.
La diferencia de si han accedido a la infraestructura o no, seria importante si tras esa web "informativa" hubiese "algo" que proteger. Pero como no lo hay, y es meramente informativa, la capacidad de cualquiera para poner sus contenidos bajo el titulo de esa web hace que esta pierda cualquier tipo de legitimidad.
Que la gente no se preocupe por diferenciar un "hacking" con intrusión de un ataque XSS es *normal*. Son los profesionales los que deberían de distinguir estas cosas y solucionarlas. Lo que ocurre es, sin embargo, todo lo contrario:
Le quitan hierro por "ser un XSS" y pasa a ser considerado un espejismo.

5 Enero 2010 | 04:39 PM

julio

julio dijo

en castellano es movilizado....

5 Enero 2010 | 05:23 PM

menestro

menestro dijo

Un simple test de seguridad hubiese delatado esa vulnerabilidad. Luego, algo se ha hecho mal. Es así de sencillo, los políticos no tienen por qué saber de internet pero si de trabajos bien hechos, y más con los antecedentes y el coste, así como la repercusión publica de un sitio de esas características.

Hace que la credibilidad de los equipos gestores de la presidencia europea se tambalee. Aunque Pepe Gotera y Otilio sean familia, no hay que dejarles el trabajo por razones de parentesco. De todas formas en España seguimos sufriendo la caída de credibilidad del sector después de la burbuja española dot.com. Es Normal que no se tomen en serio este tipo de cosas y no exijan un responsable.

En cuanto al supuesto problema de carga del servidor… ¿Pero es que no habían hecho otra prueba antes para conocer las consecuencias de esa acometida y no se había previsto el balanceo de la carga? ¿Dónde están los 400.000 euros? Por qué esa es la única duda que tengo respecto a la calidad del trabajo.

Se empieza así, y se acaba peor.

5 Enero 2010 | 06:15 PM

Jose

Jose dijo

Yo diría que los 400.000 € se han quedado en la cadena de subcontratación de Telefonica. Muchos gerentes llenando sus bolsillos, lo típico en estos casos...

5 Enero 2010 | 06:19 PM

José Antonio

José Antonio dijo

Dejémonos de tonterías. Es una forma de liar a la gente con los tecnicismos. 70 millones de las antiguas pesetas tampoco es 'moco de pavo' y habría que saber en qúe se han gastado el resto hasta 2000 millones.

Un sitio de 70 millones de pesetas + 1930 en no se sabe, no se puede permitir ni un acceso a su estructura ni un ataque XSS.

Los demás son tecnicismos para liar a la gente. Lo más chulo es la utilización de la palabra 'fotomontaje'. La estrategia es clara, decir que no ha pasado nada, poner palabras que no entienda la mayoría del vulgo, y añadir la palabra 'fotomontaje' para que parezca que ha sido todo lo contrario. Una especie de captura de pantalla.

Si hacéis una busqueda en internet, veréis que todos los medios (los grandes), han copiado y pegado el comunicado, con lo cual, a todos los no entendidos (la mayoría) ha llegado el mensaje:

1.-No se ha hackeado.
2.-Es un fotomontaje.

Esta forma de comunicación es más antigua que el cagar, pero en nuestros tiempos se ha sofisticado mucho.

http://www.la-moncloa.es/ActualidadHome/2009-2/040110UE.htm

http://www.google.com/search?q=El+supuesto+ataque+ha+consistido+e...

Misión cumplida: ni dios se ha enterado de lo que ha ocurrido, y los cuatro bobos que lo saben no tienen repercusión.

5 Enero 2010 | 08:18 PM

pablovelasco.net

pablovelasco.net dijo

Nadie ha hackeado tal web...nadie ha accedido a dicha plataforma. Y si lo hubiesen echo, digo yo que la responsabilidad seria de la empresa responsable del servicio, o que pasa que si nos hacemos una casa y esta se cae, es culpa nuestra o del constructor??

Pues en caso de negligencia de la empresa responsable, sera esta quien pague por su error de acuerdo a los ANS acordados en el pliego correspondiente.

Y si, los gobiernos tienen culpa de muchas cosas, pero en mi opinión no de los errores cometidos por las empresas, e insisto que en este caso no hay una intrusión como tal en la plataforma.

En cuanto al precio, 400K, no es para nada abultado. Una web de cualquier comunidad autonoma con servicios electronicos supera esta cantidad muy muy de largo, cierto es que en un vistazo general, esta web es de presentación, pero si sumamos, infraestructura, streaming, SAN, etc... de caro nada.

Señores que si no gastamos en TIC, porque no gastamos y si gastamos porque gastamos.... maldita ideosincracia española.

7 Enero 2010 | 03:19 AM

Los comentarios están cerrados

« Planificar los próximos 3 años | Inicio | Trabajar en cualquier cosa con gusto »

Sobre mí

Avatar de Rodolfo

Rodolfo Carpintier Santana

Madrid, España
ver perfil »
contacto »

Escribo sobre lo que me llama la atención, sobre lo que me gusta y, en general, sobre negocios de Internet.

Soy Presidente de DAD - Digital Assets Deployment, (http://www.dad.es) la incubadora de Internet







Go to Rodolfo´s Blog in English

Technorati Profile

Add to Technorati Favorites


Buscar

suscríbete

Selecciona el agregador que utilices para suscribirte a este blog (también puedes obtener la URL de los feeds):

¿Qué es esto?

Crea tu blog gratis en La Coctelera

La Coctelera: Condiciones de uso Política de Privacidad