"Su seguridad es como un envoltorio de Whopper mojado": así de fácil fue hackear a Burger King

Un grupo de hackers éticos, conocidos como BobDaHacker y BobTheShoplifter, ha revelado una serie de vulnerabilidades "catastróficas" en los sistemas de Restaurant Brands International (RBI), la empresa matriz de gigantes de la comida rápida como Burger King, Tim Hortons y Popeyes. Y la forma en que lo describen es tan gráfica como demoledora: "Su seguridad era tan sólida como un envoltorio de Whopper de papel bajo la lluvia".

Lo que descubrieron no fue un complejo agujero de seguridad que requiriera meses de investigación, sino una sucesión de fallos de principiante que dejaron la puerta abierta de par en par a los sistemas que gestionan más de 30.000 restaurantes en todo el mundo. Y lo peor de todo es que, tras informar responsablemente a la compañía, nunca recibieron ni un simple acuse de recibo.

Una fiesta a la que todo el mundo estaba invitado

Según relatan los hackers en su blog, el primer agujero de seguridad era tan simple que resulta casi cómico: el equipo de desarrollo web "se había olvidado de desactivar los registros de nuevos usuarios" en el sistema de asistencia interno de la compañía. Literalmente, cualquiera podía crear una cuenta.

Pero la cosa no acaba ahí. Investigando un poco más, encontraron un punto de acceso para registros que era "incluso más fácil y que se saltaba por completo la verificación por email". ¿La guinda del pastel? El sistema te enviaba la contraseña a tu correo en texto plano, sin ningún tipo de cifrado. Un despropósito que llevó a los hackers a afirmar, con una ironía mordaz, que estaban "impresionados por el compromiso con las prácticas de seguridad terribles".

Una vez dentro, y con solo ejecutar un simple comando, consiguieron "promoverse a sí mismos al estatus de administrador en toda la plataforma", obteniendo el control total.

Contraseñas escritas en el código y conversaciones grabadas

Con acceso de administrador, los hackers descubrieron un catálogo de horrores de seguridad. Pudieron acceder a la información personal de los empleados, sus IDs internas y detalles de configuración. Y la cosa fue a peor. Descubrieron que en la web para pedir equipamiento para los restaurantes, la contraseña estaba escrita directamente en el código HTML de la página. Y por si fuera poco, la contraseña para acceder a las tablets de los drive-thru era, simplemente, "admin".

Con este acceso, un atacante malicioso podría haber hecho de todo: ver y editar las cuentas de los empleados, controlar las tablets de los restaurantes, pedir equipamiento nuevo o enviar notificaciones a las tiendas.

Pero el hallazgo más inquietante fue el acceso a los archivos de audio en bruto de las conversaciones de los clientes en los drive-thru, algunas de las cuales incluían información personal identificable. Unos audios que, según descubrieron, la compañía utiliza para alimentar sistemas de inteligencia artificial que miden las métricas de clientes y empleados.

Los hackers, que aseguran que no retuvieron ningún dato de los clientes y que siguieron un protocolo de divulgación responsable, terminaron su informe con una puya final que resume a la perfección el estado de la seguridad de la compañía: "Wendy's es mejor".