Ni Francisco se salva de los errores de los programadores

Ni Francisco se salva de los errores de programacion

A las pocas horas del lanzamiento del eRosario, investigadores de seguridad encontraron una vulnerabilidad en el método de acceso a la cuenta de usuario.

Ni Francisco se salva de los errores de programación. Hace unos días el Vaticano entró al mercado de la Internet de las cosas con un eRosario. Pero, se ve que los ángeles de la guarda no tienen todavía una división informática. Encontraron fallas de seguridad en el funcionamiento del artefacto.

¿Qué es el eRosario?

El rosario electrónico Click To Pray eRosary es un dispositivo interactivo, inteligente y con aplicaciones que sirve como herramienta para aprender a rezar el rosario por la paz en el mundo. Se puede llevar como pulsera y se activa haciendo el signo de la cruz.

El aparato se sincroniza con una aplicación gratuita del mismo nombre, que permite acceder a una audioguía, imágenes exclusivas y contenidos personalizados sobre el rezo del Rosario.

El aparato además rastrea los pasos, calorías consumidas y ubicación del usuario. Por algún motivo, también pide permiso para hacer llamadas.

Físicamente, el dispositivo consta de diez cuentas consecutivas de ágata negra y rosario de hematites, y de una cruz inteligente que almacena todos los datos tecnológicos conectados a la aplicación.

Cómo funciona

Cuando el fiel desea rezar, puede utilizar la aplicación Click to Pray para elegir un rosario en particular. Según el comunicado de presentación del Vaticano:

“Físicamente, el dispositivo consta de diez cuentas consecutivas de ágata negra y rosario de hematites, y de una cruz inteligente que almacena todos los datos tecnológicos conectados a la aplicación. Una vez activado, el usuario tiene la posibilidad de elegir entre rezar el rosario estándar, un rosario contemplativo y diferentes tipos de rosarios temáticos que se actualizarán cada año. Una vez que la oración comienza, el rosario inteligente muestra el progreso del usuario a través de los diferentes misterios y hace un seguimiento de cada rosario terminado.

Este rosario trabaja junto a la red Click to Pray, una red social que conecta a fieles católicos de todo el mundo para rezar. Supuestamente el Santo Padre tiene un perfil personal en la misma, pero teniendo en cuenta que cuando era Arzobispo de Buenos Aires lo más avanzado que usaba era un grabador de cassettes, me permito dudar que participe en persona muy activamente.

El eRosario Click To Pray también permite llevar un registro de las intenciones diarias y mensuales para “construir un mundo con el sabor del Evangelio”.

¿Por qué ni Francisco se salva de los problemas de seguridad?

Fidus Information Security, una empresa del Reino Unido, descubrió la vulnerabilidad al poco tiempo del lanzamiento del dispositivo. Lo mismo hizo Baptiste Robert, un especialista francés en seguridad informática.

En lugar de una contraseña, la aplicación envía un PIN a la dirección de correo electrónico registrada por el fiel para iniciar sesión.

El problema es que el código PIN también podía ser visto por cualquiera que pudiera ver el tráfico de la red a la que se conecta la aplicación. Esto se producía por un error en la programación que además de enviar el pin al mail del usuario, lo enviaba a toda la red Click To Pray.

Es decir, que en teoría, cualquiera podría ver el PIN sin necesidad de acceder a la cuenta de correo electrónico. Debido que al solicitar un PIN se sale de la sesión actual, una persona podría ser expulsada y no ser capaz de volver a entrar porque alguien ya está usando un PIN solicitado. El intruso podría ver cualquier información registrada en el sistema.

El problema ya fue solucionado.

La noticia plantea muchas preguntas interesantes, algunas nos las reservaremos porque este es un blog de tecnología y no de religión. Pero ¿En serio un programador responsable puede cometer un error como el de enviar el pin a toda la red y encima sin cifrar?

Por otra parte, y ya no estoy hablando del Vaticano, creo que se nos está yendo la mano con lo de volver “inteligentes” y conectados a dispositivos que funcionan muy bien siendo analógicos.

6 comentarios, deja el tuyo

  1.   Autopilot dijo

    Nada humano nos debe ser ajeno, categoría en la que también entran los programadores.

  2.   Aritz dijo

    ¿Soy yo o el artículo no está completo?

    1. Puede ser que yo no sepa escribir.

    2.    Joshua dijo

      Aritz tiene razón, parece que el artículo no está completo.

      1. Si, acabo de ver que la frase final no salió completa. Gracias

    3. Acabo de ver por que lo decías. Gracias por avisar.

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.