Juan Carlos García Cuartango

From Hack Story

Juan Carlos García Cuartango, nacido en 1960, fue ingeniero de telecomunicaciones y experto en seguridad informática. Se hizo famoso internacionalmente a finales de los años 90 por sus descubrimientos de vulnerabilidades de seguridad en productos Microsoft. Estuvo mucho tiempo a la cabeza del Instituto para la Seguridad en Internet. Murió el 29 de enero de 2022^[1].

El descubrimiento que le hizo internacional fue un fallo en el navegador Internet Explorer, en octubre de 1998, bautizado por él mismo como Agujero de Cuartango. Consistía en un problema grave que afectaba al navegador Internet Explorer 4.01 y permitía a un servidor de Internet extraer información de los ordenadores de los internautas que navegaban por sus páginas web.

El pasado Octubre un español informó de un gravísimo problema de seguridad que afecta al Internet Explorer 4.01, y que permite leer los archivos locales del usuario y su contenido a una máquina remota. En honor a su descubridor patrio, el bug se bautizó como "Cuartango". Técnicamente la vulnerabilidad es muy simple y explota el hecho de que acceso al "clipboard" (portapapeles) del sistema no está protegido. Por tanto un script malicioso puede enviar a una máquina remota tanto el contenido actual del "clipboard" como "pegar" previamente en él el contenido de cualquier fichero, de nombre conocido, existente en el ordenador del usuario. En la página de Juan Carlos García Cuartango se indican unos cuantos bugs más, igual de mortíferos. Microsoft ha reaccionado rápidamente y ya se dispone de un parche para el Internet Explorer 4.01. ^[2]

Un mes después, en noviembre de 1998, Cuartango anunciaba El hijo del agujero de Cuartango, un fallo también en la cuarta versión del Internet Explorer, parecido al anterior.^[3]

Lamentablemente el parche soluciona el problema de forma parcial. Unos días después de que Microsoft publicase el parche anterior, Juan Carlos García Cuartango publicaba una versión modificada del "exploit", "The Son of Cuartango Hole", capaz de funcionar también en sistemas parcheados. Microsoft ha publicado una revisión de su boletín de seguridad y del parche correspondiente.^[4]</poem>

Anteriormente, Cuartango había descubierto otro grave fallo, esta vez en Outlook Express, llamado el "hack del correo": sucedía al enviar un mensaje de correo a la dirección de una web. Al pulsar el enlace y mandar el correo, se adjuntaba un archivo del disco duro del internauta.

También fue famosa la "ventana de Cuartango": aparecía una ventana emergente en la web y, si se pinchaba en aceptar, se activaba un VBScript que podía instalar virus, robar archivos, borrarlos o leerlos.

Hasta aproximadamente 2001, Cuartango descubrió múltiples "bugs" de seguridad en Internet Explorer, Outlook, Office 97 y otros, incluídos los propios parches que sacaba Microsoft para solucionar estos problemas.

En 2002, Cuartango puso en marcha el Instituto para la Seguridad en Internet, junto con Gonzalo Álvarez Marañón, creador del sitio web y boletín Criptonomicón, que desde 1997 gozaba de reputación en la comunidad de seguridad informática hispana. El Instituto de Seguridad en Internet se dio a conocer aquel 2002 con un concurso de hacking de original nombre, Boinas negras, que tuvo amplia aceptación, con más de 4.000 inscritos^[5].

El primer año, ganó el concurso un estudiante de Telecomunciaciones, Alberto Moro, de 26 años y de Santander^[6], ya conocido en la comunidad hacker con el apodo Mandingo. El segundo año, el ganador fue Pere Planiol, de Santa Coloma de Farners, 26 años y doctorando en Ingeniería Informática de la Universitat de Girona, con el apodo Cthulhugroup^[7]. Los premios del concurso eran tan originales como quesos, boinas, camisetas y un jamón.

Boinas negras fue uno de los primeros concursos de este tipo, retos intelectuales en entornos controlados, que a partir del año 2000 proliferaron en la parte de la comunidad hacker más centrada en temas de seguridad informática.

Notas

1. ↑ En memoria del espeleólogo Juan Carlos García Cuartango. Ana Isabel Ortega. "Fundación Atapuerca" (25/02/22)
2. ↑ Microsoft es noticia. Jesús Cea. "Linux Actual" (14/12/98)
3. ↑ Los retoños de Cuartango. Boletín del Criptonomicón (19/11/98)
4. ↑ Microsoft es noticia. Jesús Cea. "Linux Actual" (14/12/98)
5. ↑ La comunidad hacker busca a sus 'boinas negras'. Olalla Cernuda. "El Mundo" (14-05-02)
6. ↑ Más de 4.000 inscritos en un original concurso de "hacking". Mercè Molist para "Ciberpaís" (09-05-02)
7. ↑ Casi 3.000 participantes al asalto de una web de concurso. Mercè Molist para "Ciberpaís" (25-06-03)

Enlaces externos

• Cuartango: "Los agujeros vienen a mi". Algunos hackers buenos. Mercè Molist (05/07/01).
• Juan Carlos García Cuartango: la pesadilla de Microsoft. Olalla Cernuda. "El Mundo" (03/08/99).
• Encuentro digital con Juan Carlos Garcia Cuartango. Elmundo.es (23/04/01).
• Medidas provisionales e imprescindibles a adoptar de inmediato. Juan Carlos García Cuartango. Kriptópolis (03/04/01).
• Entrevista digital con Juan Carlos García Cuartango. Elpais.com (02/11/05).
• Nuevo agujero descubierto por Cuartango. Boletín del Criptonomicón (24/02/99).
• Comparecencia de Juan Carlos García Cuartango en el Senado. (27/03/01).
• Cuartango demuestra que Microsoft puede instalar programas sin avisar. Hispasec (22/02/00)
• El ingeniero que obligó a replantear el 'Explorer'. Carmen Jané. "El Periódico" (02-09-12)