Juan Carlos García Cuartango

From Hack Story

Juan Carlos García Cuartango, nacido en 1960, es ingeniero de telecomunicaciones y experto en seguridad informática. Se hizo famoso internacionalmente a finales de los años 90 por sus descubrimientos de vulnerabilidades de seguridad en productos Microsoft. Actualmente está a la cabeza del Instituto para la Seguridad en Internet.

El descubrimiento que le hizo internacional fue un fallo en el navegador Internet Explorer, en octubre de 1998, bautizado por él mismo como "agujero de Cuartango". Consistía en un problema grave que afectaba al navegador Internet Explorer 4.01 y permitía a un servidor de Internet extraer información de los ordenadores de los internautas que navegaban por sus páginas web.

El pasado Octubre un español informó de un gravísimo problema de seguridad que afecta al Internet Explorer 4.01, y que permite leer los archivos locales del usuario y su contenido a una máquina remota. En honor a su descubridor patrio, el bug se bautizó como "Cuartango". Técnicamente la vulnerabilidad es muy simple y explota el hecho de que acceso al "clipboard" (portapapeles) del sistema no está protegido. Por tanto un script malicioso puede enviar a una máquina remota tanto el contenido actual del "clipboard" como "pegar" previamente en él el contenido de cualquier fichero, de nombre conocido, existente en el ordenador del usuario. En la página de Juan Carlos García Cuartango se indican unos cuantos bugs más, igual de mortíferos. Microsoft ha reaccionado rápidamente y ya se dispone de un parche para el Internet Explorer 4.01.

Lamentablemente el parche soluciona el problema de forma parcial. Unos días después de que Microsoft publicase el parche anterior, Juan Carlos García Cuartango publicaba una versión modificada del "exploit", "The Son of Cuartango Hole", capaz de funcionar también en sistemas parcheados. Microsoft ha publicado una revisión de su boletín de seguridad y del parche correspondiente.^[1]

Un mes después, en noviembre de 1998, Cuartango anunciaba "El hijo del agujero de Cuartango", un fallo también en la cuarta versión del Internet Explorer, parecido al anterior.^[2]

Anteriormente, Cuartango había descubierto otro grave fallo, esta vez en Outlook Express, llamado el "hack del correo": sucedía al enviar un mensaje de correo a la dirección de una web. Al pulsar el enlace y mandar el correo, se adjuntaba un archivo del disco duro del internauta.

También fue famosa la "ventana de Cuartango": aparecía una ventana emergente en la web y, si se pinchaba en aceptar, se activaba un VBScript que podía instalar virus, robar archivos, borrarlos o leerlos.

Hasta aproximadamente 2001, Cuartango descubrió múltiples "bugs" de seguridad en Internet Explorer, Outlook, Office 97 y otros, incluídos los propios parches que sacaba Microsoft para solucionar estos problemas.

[edit] Notas

1. ↑ Microsoft es noticia. Jesús Cea. "Linux Actual" (14/12/98)
2. ↑ Los retoños de Cuartango. Boletín del Criptonomicón (19/11/98)

[edit] Enlaces externos

• Cuartango: "Los agujeros vienen a mi". Algunos hackers buenos. Mercè Molist (05/07/01).
• Juan Carlos García Cuartango: la pesadilla de Microsoft. Olalla Cernuda. "El Mundo" (03/08/99).
• Encuentro digital con Juan Carlos Garcia Cuartango. Elmundo.es (23/04/01).
• Medidas provisionales e imprescindibles a adoptar de inmediato. Juan Carlos García Cuartango. Kriptópolis (03/04/01).
• Entrevista digital con Juan Carlos García Cuartango. Elpais.com (02/11/05).
• Nuevo agujero descubierto por Cuartango. Boletín del Criptonomicón (24/02/99).
• Comparecencia de Juan Carlos García Cuartango en el Senado. (27/03/01).
• Cuartango demuestra que Microsoft puede instalar programas sin avisar. Hispasec (22/02/00)