![](\"https:\/\/sophos.files.wordpress.com\/2019\/02\/shutterstock_788146882.jpg\"\/)
<\/p>\n\u00bfQu\u00e9 ocurre cuando informas de una vulnerabilidad a una web y lo ignora completamente en vez de ofrecer una recompensa por el descubrimiento?<\/p>\n
Algunos hackers simplemente se olvidar\u00edan del tema, pero un grupo de desarrolladores de apps en Rusia escogieron otra opci\u00f3n. Lo que decidieron fue explotar la vulnerabilidad para enviar spam a miles de usuarios de la principal red social rusa.<\/p>\n
El grupo, llamado Bagosi, desarrolla apps que se ejecutan en VKontakte (VK), una red social con sede en San Petersburgo que tiene m\u00e1s de 500 millones de usuarios y pertenece a la empresa rusa Mail.ru.<\/p>\n
Seg\u00fan ZDnet<\/a>, el grupo descubri\u00f3 una vulnerabilidad en la plataforma de la que inform\u00f3 hace un a\u00f1o.<\/p>\n En una entrada en VKontakte, Bagosi explic\u00f3 que la red social ignor\u00f3 el aviso y no premi\u00f3 a la persona que lo descubri\u00f3 de ninguna forma, pese a que VKontakte tiene un programa de recompensas por bugs con Hacker One. VK ha informado que el programa lleva funcionando desde 2015 y que ya han pagado m\u00e1s 250.000$ en recompensas. Sin embargo, Hacker One afirma que el programa de VK est\u00e1 auto gestionado, por lo que lo son empleados de VK y no de Hacker One quienes lo llevan a cabo.<\/p>\n Bagosi decidi\u00f3 dar publicidad a la vulnerabilidad de una forma espectacular. Escribi\u00f3 en VK una entrada que conten\u00eda un script que lo activaba cuando se ve\u00eda. El script publicaba un enlace a la entrada en cualquier p\u00e1gina o grupo que la v\u00edctima gestionara.<\/p>\n Bagosi utiliz\u00f3 algunas t\u00e9cnicas de ofuscaci\u00f3n, seg\u00fan varias entradas en las que explicaron lo que hicieron en VK. Accedieron a varias rese\u00f1as aleatorias de Google Play y tambi\u00e9n utilizaron titulares aleatorios para intentar saltarse los filtros anti-spam.<\/p>\n Claramente, VK act\u00faa r\u00e1pido cuando quiere. Los desarrolladores de apps lanzaron el ataque el 14 de febrero, y la red social lo cerr\u00f3 poco despu\u00e9s. Un representante de VK dijo:<\/p>\n Al minuto de descubrir la vulnerabilidad, comenzamos a borrar las entradas no deseadas, y en 20 minutos la vulnerabilidad estaba solucionada.<\/em><\/p>\n Sin embargo, la p\u00e1gina se extendi\u00f3 r\u00e1pidamente antes de que VK la bloqueara. Bagosi dijo en una entrada en VK:<\/p>\n La p\u00e1gina acumul\u00f3 m\u00e1s de 100.000 visitas. Dado que VK solo contabiliza las visitas \u00fanicas, se puede concluir que unas 140.000 personas fueron v\u00edctimas del gusano.<\/em><\/p>\n VK expuls\u00f3 la cuenta del grupo tras detectar el spam, pero los volvi\u00f3 a admitir al comprobar que el gusano no robaba informaci\u00f3n de usuarios.<\/p>\n Bagosi explic\u00f3 que hicieron todo lo posible para informar de la vulnerabilidad, pero que no les hicieron caso. Por esto surge la duda de si es correcto aprovechar la vulnerabilidad lanzando un ataque benigno o es mejor no hacer nada.<\/p>\n Le hemos preguntado a Dan Kaminsky lo que opinaba. Kaminsky es uno de los reyes de la revelaci\u00f3n responsable, conocido por gestionar una seria vulnerabilidad en los DNS<\/a> durante meses mientras trabajaba con las principales empresas de internet para encontrar una soluci\u00f3n. Dijo:<\/p>\n Las pruebas de concepto benignas suelen no manipular los sistemas. Esta lo hizo. Eso no la convierte en maliciosa, pero si el fin es proteger a los usuarios,\u00a0 hay formas m\u00e1s amigables.<\/em><\/p>\n Hay un punto medio que no implica enviar spam a miles de personas. A\u00f1adi\u00f3:<\/p>\n Este tipo de disputas entre proveedores y expertos no son por el inter\u00e9s de la seguridad del usuario.<\/em><\/p>\n <\/p>\n <\/p>\n Para manteneros al d\u00eda de las \u00faltimas amenazas<\/strong> haceros fans de nuestra p\u00e1gina de Facebook<\/a> o s\u00edguenos en Twitter<\/a> para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro bolet\u00edn de seguridad<\/a> en tu correo electr\u00f3nico, suscr\u00edbete en la siguiente aplicaci\u00f3n:<\/p>\n \t