Los buscadores de internet se han convertido en una herramienta prácticamente indispensable, ya que en cuestión de minutos permiten encontrar información precisa sobre el tema que sea. Insluso si esa información resulta útil para hackers.
La posibilidad de que personas con conocimientos de informática puedan buscar vulnerabilidades de sitios webs en una herramienta similar a Google tiene nombre: se llama PunkSpider y será presentada la semana que viene, en el marco de la popular conferencia hacker Defcon.
Si bien no se trata de su primera versión, ya que el mismo buscador estuvo activo entre 2013 y 2015 (e incluso recibió fondos de Darpa, la Agencia de Proyectos de Investigación Avanzados de Defensa), su relanzamiento no deja de llamar la atención entre distintas comunidades de hackers.
PunkSpider es capaz de escanear cientos de millones de sitios diariamente, y mediante el análisis de los datos recogidos detecta las vulnerabilidades 'hackeables' de los mismos, permitiendo realizar esas búsquedas tan cómodamente como si se tratase de Google.
La herramienta busca en base a tres criterios: keywords mencionadas en la URL, tipo de vulnerabilidad y gravedad de la misma. Además, cuenta con una extensión oficial para Chrome que sirve para consultar automáticamente las vulnerabilidades de los sitios según se los va visitando.
Tanto el buscador como la extensión clasificarán los sitios web mediante un sistema de puntuación que, en lugar de las típicas estrellas, mostrarán contenedores de basura ardiendo: a mayor puntuación, mayor vulnerabilidad del sitio.
El proceso al que recurre este buscador se conoce como "fuzzing", y consiste en ingresar datos aleatorios en un programa y analizar los resultados para encontrara errores potencialmente explotables.
¿La herramienta puede ser aprovechada por hackers?
Alejandro Cáceres, cocreador de PunkSpider junto a Jason Hopper (también empleado de la startup de ciberseguridad QOMPLX), fundamentó el desarrollo del buscador asegurando que, al exponer las vulnerabilidades de los sitios, los desarrolladores serían motivados a solucionarlos rápidamente para evitar cualquier intento de hackeo.
"Pensé: '¿No sería genial poder escanear toda la WWW en busca de vulnerabilidades? Y para hacerlo aún más divertido, ¿no sería genial liberar todas esas vulnerabilidades de forma gratuita?'", dijo cáceres.
Sin embargo, ambos reconocen que al tratarse de una herramienta de acceso libre, están exponiendo a ciberataques potenciales a todos los sitios web indexados.
"Sabes que tus clientes pueden verlo, y que tus inversores también pueden verlo, así que vas a arreglar rápidamente el desaguisado", agregó el cocreador de PunkSpider.
Por su parte, organizaciones frecuentemente pro-hackers como la Electronic Frontier Foudation (EFF) reaccionaron negativamente al relanzamiento del buscador.
"Hacer públicas estas vulnerabilidades podría empujar a los administradores a solucionarlos, sí. Pero no lo recomendamos: los actores maliciosos pueden explotar las vulnerabilidades más rápido de lo que los administradores pueden parchearlas, lo que llevará a más infracciones", consideró la analista de EFF Karen Gullo, en declaraciones a la revista Wired.
