Algunos datos sobre el presunto hackeo de la web de presidencia de la UE

por | 4 enero, 2010
Share on Facebook0Share on Google+0Tweet about this on TwitterEmail this to someoneShare on Tumblr0Share on LinkedIn0

 

1 – El 28 de Diciembre Intereconomía publica un artículo “La Presidencia española de la UE cuesta medio millón de euros al día” donde se compara el gasto que hará este gobierno con el de Aznar. En él se habla de 90 Millones de Euros en total

2 – El Mundo habla el día 3 de Enero de contratos adjudicados por 23 millones de Euros. Entre ellos se hace mención a 11,9 Millones de Euros adjudicados a Telefónica “por prestar asistencia técnica y seguridad a la web de la presidencia española

3 – Un montón de twitters recogen la historia de los 11,9 Millones de Euros

4 – En menéame se publica la noticia de un fallo de la web que permite explotar vulnerabilidades XSS  ese mismo día 3 de Enero. Por supuesto esto no quiere decir que menéame sea responsable de nada, aclaro, pero la información que posteriormente han seguido los medios muy probablemente tenga este origen. Si alguien conoce algún sitio donde se publicara anteriormente ruego me lo comunique para modificar este punto. En todo caso creo que habla muy bien de menéame como una fuente para los medios. Lo que hagan después los medios si no contrastan lo que leen en la red no es responsabilidad de menéame.

5 -  El enlace publicado en menéame muestra un ejemplo de dichas vulnerabilidades, que sustituye el vídeo institucional de la web por una imagen de Mr.Bean, alojado en un blog, en concreto en este, y que es el segundo resultado de Google al buscar “Mr. Bean” en sus imágenes (el primero no servía, al parecer).

2010-01-04_215903

El script en concreto es este:

“http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg+src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22+%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en”

5- Un montón de prensa y televisión anuncian que la Web de la presidencia española en la UE ha sido hackeada

Y ahora algunos datos

1 – La partida de 11,9 Millones de Euros para “prestar asistencia técnica y seguridad a la web de la presidencia española”” no es tal, en realidad la partida contempla, tal como se puede ver el documento de adjudicacióncontrato de Servicio de asistencia técnica de la instalación y funcionamiento de los medios de telecomunicaciones, sistemas informáticos, servicios de videostreaming y alojamiento, gestión y seguridad de la página web para la Presidencia Española de la UE”. Traducido contempla, tal como alguien comenta en la misma menéame : “En realidad la noticia es errónea, por montar y administrar toda la plataforma de hosting se les cobra algo menos de 400k (y esto incluye, entre otros, alojamiento, hw y sw, monitorización, backup, un almacenamiento SAN de la leche y la parte de seguridad y hacking ético de la plataforma) Todo en alta disponibilidad y en un CDG con mas medidas de seguridad que la Zarzuela. Además incluye unos SLAs que meten miedo, y eso también se paga.
De los 9 millones de la oferta (sin IVA) la inmensa mayoría van a parar a dar soporte a las 31 cumbres que se tienen preparadas, y eso no tiene nada que ver con la página web. Se incluye entre otras cosas soporte logístico (hay más de 3,5 millones en logística), soporte microinformático, de redes LAN y WIFI, seguridad perimetral y acreditaciones, etc. Los equipos serán propiedad del gobierno al acabar el proyecto, cosa que también hay que tener en cuenta

2 – La cifra de adjudicación son 9 Millones de Euros. La cifra que se maneja de 11,9 es con impuestos, que por supuesto se reintegra el gobierno, es decir casi 3 Millones de Euros, y ya ven que no es por la seguridad de la web, como he comentado en el anterior punto.

3 – La página Web no ha sido Hackeada, como afirman los medios, porque no ha sido modificada en su origen. Para entender esto y no enrollarme técnicamente les diré que  una vulnerabilidad XSS tiene como objeto siempre el usuario del servicio y no el servidor donde se explota. Es decir, en cristiano, el Script o enlace que alguien ha pasado en ningún momento ha modificado la web, si no la visión del usuario que pulsa el enlace, a través de su navegador (siempre que tuviera activado algunas características). Cualquier persona que accediera a la Web a través de su enlace normal, y no el que se publicó vería la web en su aspecto normal, por tanto no hay tal hackeo.

Dicho de otra manera si alguien pulsó el enlace :

http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg+src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22+%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en”, se hubiera encontrado a Mr Bean que está en el blog del amigo Tom Keating ,

2010-01-04_224315

si alguien hubiera pulsado el enlace http://www.eu2010.es/ no habría visto a Mr. Bean.

2010-01-04_224252

4 – Por cierto, esto al autor del blog no le habrá hecho mucha gracia y es una práctica que reprueba cualquier bloguer, porque cada vez que alguien visualizó a Mr Bean estaba consumiendo los recursos y ancho de banda del Sr Keating, y se llama Hotlinking o Inline Linking.

 

5 – La vulnerabilidad existe, como en muchísimas webs, y debe ser corregida (si no se ha hecho ya). Pero insisto en que ningún caso se puede afirmar que nadie “hackeo la web”, al menos en mi opinión, sino más bien que si alguien “hackeo” algo fue los navegadores de la gente que pulsó el enlace para ofrecer la imagen que no existía, no estaba alojada en la web y en ningún caso pertenecía a nada que estuviera en la infraestructura de la web de Presidencia.

6 – Existe un código entre los técnicos que hace que cuando alguien descubre una vulnerabilidad primero lo comunica a los administradores del sistema para que sea corregida, y luego lo publica. Eso si uno es un buen profesional, o una buena persona y no actúa de mala fe. Obviamente a pesar de ser tan expertos en la red, y tan profesionales, no se hizo. ¿Las razones? Creo que con las simpatías que causan los últimos sucesos de la red (leáse las descargas y demás), el ambiente generado contra el gobierno por este motivo desde focos muy claros de los internautas y estando de por medio Telefónica, uno puede saber perfectamente las razones de porque se hizo así.

7 – Es muy triste que los medios no contrasten la información que ofrecen. Que utilicen imágenes que no han capturado ellos mismos, ni han contrastado (con que hubieran accedido a la web por su enlace normal hubieran visto que no estaba modificada). Que no se documenten ni se informen de lo que realmente ha sucedido y basen sus afirmaciones a unas capturas en una red social. Triste y dice mucho sobre el nivel del periodismo actual.

8 – Más triste es que existiendo tantos “expertos” en la red nadie, salvo honrosas excepciones, explique todo esto, que finalmente quedará como una mancha en la capacidad de una empresa española que seguramente no merece, y en la de los técnicos e informáticos españoles. Buena imagen hemos dado. Para más coña el sistema elegido para confeccionar la web de la presidencia es Open Source, y muchos de quienes han azuzado esta polémica son defensores de este tipo de soluciones. Les invito a ver que impresión han dado de las soluciones que recomiendan.

Saludos

0 pensamientos en “Algunos datos sobre el presunto hackeo de la web de presidencia de la UE

  1. Paul

    Me quito el sombrero ante la explicación que das. Hasta yo, que no entiendo nada de estos temas, lo he entendido. Enhorabuena

    Responder
  2. mmadrigal Autor

    Gracias Paul. Si algo me preocupa de todo esto de la red es que los técnicos nunca somos lo suficientemente claros explicando las cosas. 😀

    Responder
  3. Carmen

    Yo tambien lo he entendido y eso que habitualmente no entiendo ni jota… Buen trabajo de comunicación!

    Responder
  4. yoriento

    Excelente artículo, Sr.Madrigal.

    Yo soy uno de esas decenas o cientos de tuiteros que retuitearon la noticia sin comprobar datos o al menos sin intentar buscar otras versiones, no por tomar partido como por indolencia, como con casi toda la información que llega y que tiendes a considerar confiable.

    De cualquier forma lo bueno de las redes sociales es que tras unas versiones siempre aparecen otras y al menos se pueden contrastar. Y yo le he dado difusión a la tuya, que me parece razonable, en la medida de mis posibilidades y via Mr. Pleguezuelo 🙂

    http://twitter.com/Yoriento/status/7381452389

    Un saludo y buen año¡ 🙂

    Responder
  5. Rafael

    Chapó (o chapeau). Mi petición para 2010 es que todos los técnios expliquen así las cosas. Lo que tenían que hacer los periódicos ahora es copiar este post (con tu permiso claro y enlazándote) e intentar limpiar esa imagen que hemos dado.

    Responder
  6. mmadrigal Autor

    Muchas gracias Maestro Yoriento ;D
    Rafael lo que hagan los periódicos es asunto suyo. Lo que hagamos nosotros en la red es el nuestro ;D

    Responder
  7. calvoconbarba

    leido (con interés) y entendido (con estupefacción). Confieso haber sido también uno de esos “altavoces” tuiteros que han rebotado la información creyéndomela…
    Hago proposito de enmienda y retuiteo tu explicación…

    Responder
  8. ender wiggins

    bueeeeeena explicación, sí señor.

    el problema con la ‘vulnerabilidad’ no es tanto el hack que se ve, sino la posibilidad de ejecutar javascript. se pueden hacer cosas bastante perras. por ejemplo, sin ir más lejos, examinando un poco el html de la página, se podría ‘modificar’ toda la página por javascript accediendo a los objetos con el getElementById… por supuesto, solo en el navegador del cliente, que el javascript se ejecuta solo en cliente… para ser realmente un hacking, deberían haber encontrado una vulnerabilidad que les permitiese cargar y/o modificar código en servidor (y no podrían hacerlo via javascript, ni siquiera con iframes, que están bastante blindados)

    Una cosa…así por curiosidad…¿qué os parece el diseño de la página de la ue? ¿austero y minimalista o un truñaco más gordo que una cagada de t-rex? (y perdónenme la olorosa metáfora)

    Responder
  9. Emilio

    Muy buen resumen enlazando las fuentes correctas para ello.
    Lo de la blogosfera y tuitosfera ensalzando el asunto es una cosa, pero que los periodistas no contrasten sus fuentes…
    Enhorabuena por dejar claro el asunto.

    Responder
  10. Manuel

    Poca cosa que añadir a lo que te han dicho los comentaristas anteriores. Te agradezco yo también que hayas puesto luz sobre el asunto.

    Y una reflexión: lo de la gente que en blogs o en twitter ha difundido el error sin contrastar podría disculparse al menos en parte (aunque me temo que siempre hay mucha gente más dispuesta de lo normal a difundir cosas negativas, con las positivas no suele pasar igual) pero lo de la prensa … es como para fiarse de cualquier noticia que dan.

    Un saludo,

    Responder
  11. Miguel

    Saludos!
    Hay un par de cosas que no me quedan muy claras, te pediría por favor que explicaras un poco más…

    ¿Cómo un usuario pulsa ese enlace “http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg+src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22+%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en”…?
    ¿Sugieres que puso un link el propio hacker que puso en Menéame la noticia?

    ¿Soy el único al que le parece poco transparente la adjudicación? Bueno, quiero decir… yo no he encontrado ninguna explicación del tipo “hemos elegido a telefonica entre propuestas de x empresas, porque su proyecto nos parece el más acertado, etc. ”

    Y la última cosa… he leído comentarios de gente que crea páginas webs criticando varios aspectos de la página (eu2010.es)… ¿te parece una buena página? ¿le ves algún fallo destacable?

    Muchas gracias por el trabajo que te has pegado. 😉

    p.d. ya he visto que no eres muy amigo de twitter, jeje.
    Creo que la mayoría de los que hemos tuiteado este tema lo hacíamos sólo como anécdota (eso es sobre todo twitter, un lugar donde puedes comentar “estoy desayunando un café y unas porras en el bar Jamaica” o “llego tarde a la reunión”) pero creo que sabemos que hay temas mucho más importantes sobre la presidencia europea como son por ejemplo las medidas de seguridad en aeropuertos o la coordinación en ayuda al desarrollo, por poner un par de ejemplos.

    Responder
  12. Ricardo

    Después de su lectura, me sumo a la petición de disculpas por haber participado en la difusión sin contrastar la noticia, lo que sí que he hecho es intentar acceder a la web varias veces durante esta tarde y me ha resultado imposible.
    Saludos y buen post

    Responder
  13. Val

    Me gustaría saber donde ha leído el comentarista de meneame que telefónica se ocupará de “seguridad perimetral y acreditaciones” y demas. O que el SLA da miendo cuando la página se ha caído por tráfico cuando ha sido noticia. O que realmente se ha hecho una consultoría de seguridad cuando XSS es lo más básico del mundo. O que 400k se van en hosting cuando el video en SimpleCDN son menos de 1k/mes y un hosting no llega a una fracción de eso (ver el post sobre hosting de meneame.net en la nube de Amazon S3, que les sale a 600€/mes o algo así e incluye tráfico escalable). Y lo siento, pero si realmente se han gastado 400k en hosting, que se lo piensen dos veces, es una salvajada, me da igual si el servidor está en un castillo con puente levadizo (por cierto, la IP sale por geolocalización en Madrid, no en el centro de datos de Logroño, así que la seguridad tipo la zarzuela en realidad es un segurata en la puerta, imaginación al poder).

    OpenCMS no veo que salga perjudicado porque el mismo error puedes cometerlo con software propietario. Una cosa no tiene que ver con la otra.

    Sin un detalle del trabajo de telefónica no se puede estimar que hacen ni porque. Pero sigue siendo noticia que cobren una millonada por seguridad y se la peguen con XSS, que es una señal clara de descuido y potencialmente un paso hacía un hackeo real (google codinghorror xss).

    Responder
  14. cheer

    Lo medios generalistas no tienen ni idea, ni se molestan, solo se hacen eco de lo que oyen, eso está claro, pero en cualquier caso, 400.000 euros para una web para 6 meses por muchos hierros que lleve es carísimo (para 6 meses no se compra tanto hardware, se alquila), más teniendo en cuenta que el diseño no es nada del otro mundo (con imagenes pixeladas por ejemplo) y queda claro que no ha pasado auditorías de seguridad muy exaustivas.

    Responder
  15. Q

    Buenas, ante todo felicitar por la profesionalidad del post

    No obstante, como consultor en seguridad de los SI, mi opinion es la siguiente:

    Una cosa es que no sea GRAVE el tema, pero me sigue pareciendo bastante lamentable, para mi es un ataque ciertamente exitoso porque:

    A) Han explotado una vulnerabilidad (XSS) leve en teoría y que sí que es en parte del cliente y no del servidor.

    B) Pero lo han difundido muy bien para sus fines, la parte de ingeniería social ha sido casi más importante en el ataque.

    C) Gracias o “desgracias” a los gilimedios todo el mundo se puso a acceder a la web creando como consecuencia secundaria un DDOS (que quizá era el fin del ataque en realidad)

    D) Por mucho que ahora nos pongamos a explicar que no se ha hackeado la web, la pérdida de prestigio ahí queda.

    En mi opinión una web así no debería permitirse un XSS, pero lo que NO DEBE BAJO NINGUN CONCEPTO permitirse es que no se haya actuado rápidamente frente al incidente, teniendo un equipo monitorizando la web, eliminando la vulnerabilidad (P. ej. deshabilitando el buscador temporalmente) y emitiendo un comunicado…

    Saludos

    PD: Escrito del tirón, así que pueden faltar acentos y haber “herratas”.

    Responder
  16. Jorge

    Una cosa que no se justifica con el falso hackeo, en mi opinión, es que la web haya estado inoperativa toda la tarde de este lunes (página en blanco) y que desde Moncloa se justifique por el elevado número de visitas a la página. ¿Es serio o normal que una web oficial del Gobierno se colapse y venga abajo de una manera tan sencilla? ¿Tenía poca capacidad para soportar un tráfico elevado, teniendo en cuenta que es susceptible de ser visitado por toda la población europea? Si es así, ¿no debería el Gobierno pedirle cuentas al adjudicatario?

    Responder
  17. EMG

    Estoy de acuerdo con el artículo, pero también lo estoy con los últimos comentarios. No entiendo que si se ha cobrado por “…Todo en alta disponibilidad y en un CDG con mas medidas de seguridad que la Zarzuela…” haya podido pasar lo que ha pasado. Ayer estuvo la página la mayor parte del día fuera de servicio…
    Como dice

    Q :
    En mi opinión una web así no debería permitirse un XSS, pero lo que NO DEBE BAJO NINGUN CONCEPTO permitirse es que no se haya actuado rápidamente frente al incidente, teniendo un equipo monitorizando la web, eliminando la vulnerabilidad (P. ej. deshabilitando el buscador temporalmente) y emitiendo un comunicado…
    Saludos

    Responder
  18. M@k, el Buscaimposibles

    Muchas gracias por la información, Marcelino. No había seguido el tema fielmente ayer, y me alegro. Que, como dicen más arriba, sea una chapuza que con lo que se ha pagado se ofrezca esa vulnerabilidad, más que a ZP habría qe achacárselo a Telefónica, aunque si como entiendo la vulnerabilidad es de descubrimiento reciente, quizás tampoco pudieron hacer mucho…

    Responder
  19. nom

    ¿Que nos importa que quede para el Gobierno todo ese material?¿Para qué coño quiere un Gobierno tanta máquina con tanta disponibilidad si en un par de años será anticuado si encima son tan inútiles de no saber manejar el software que les meten (que es mas viejo que carracuca)?

    Joder, que es un Gobierno ridículo en una nación ridícula, esa es la APLASTANTE REALIDAD.

    Y por supuesto que es una vulnerabilidad y grave pues se vulnera a cada usuario que accede a esa web a través del enlace que sea.
    Venga va, un poco de seriedad porque el estilo Zapatero es ese, joder a los demás a través de él.

    Eso si, nos hemos reído un huevo con el puerco cejudo.

    Responder
  20. domagar

    Puf, que quieres que te digas, yo también trabajo en el tema este y por mucho que vistas la mona mona se queda, 9 millones de € es una autentica salvajada por los meses que va a estar esa Web en uso se mire como se mire y molese a quien moleste, es una vergüenza que se tire así el dinero público que tanto se llora para otras cosas y encima que les hayan colado Mr Bean gastando lo que se ha gastado en esto, creo que es motivo suficiente para romper ese contrato.

    Responder
  21. Maria Rosa Diez

    Estimado Marcelino:

    En esta ocasión no estoy de acuerdo contigo.

    Para empezar, el bug de la web no es de recibo para unos profesionales del desarrollo web.

    Y, segundo, me parece más patético que no admitan dicho bug, sino que digan: “El incidente ha consistido en un pantallazo de http://www.eu2010.es para hacer un fotomontaje al que se ha asignado un falso enlace” http://twitter.com/desdelamoncloa/status/7375327879

    Este tuit es clavado a la nota de prensa que dio Presidencia de Gobierno.

    Es más que llamarnos tontos…

    Sobre los 12 millones de euros, sólo hay que leer la página oficial de contratación del estado, y te aseguro que se pagará por lo que pone ahí y solamente ahí, aunque ahora quieran arreglarlo diciendo “que se harán más cosas”.

    En definitiva, me parece de chapuza nacional que se contrate por millones de euros una seguridad de una web que, desde el principio, está mal programada. Segundo, que nos llamen tontos hablando de foto-montajes. Y tercero, que se caiga una web millonaria por las visitas, como si no hubiera presupuesto en Telefonica para poder absorber el tráfico.

    Y a mi me llena de orgullo que me llamen experta en elmundo.es , tú sabes mejor que nadie que lo soy 🙂

    Un abrazo

    Responder
  22. barataria

    nom, tus comentarios finales son impresentables.

    No vengas a adoctrinarnos. La ineptitud no tiene ideología, abunda tanto en la derecha como en la izquierda. Meter aquí a Zapatero es mear fuera del tiesto y no tiene nada que ver con lo que se habla en la noticia.

    Es realmente lamentable la poca profesionalidad de algunos medios cuya máxima es “que la realidad no te estropee una buena noticia”.

    Y también es lamentable que se haya llegado a dar esta situación. Telefónica debería tener profesionales que evitaran estos problemas

    Responder
  23. El Guardián

    Muchas gracias por las explicaciones, Marcelino. Evidentemente, se puede generar un buen debate sobre la seguridad de la Web y el proceso o propósito de aprovechar fallos como el que hemos conocido, pero los hechos están muy bien explicados y es lo que debiéramos haber conocido a través de los medios, en lugar de la parte sensacionalista. Un cordial saludo.

    Responder
  24. Skiter

    Vale, muchos hemos picado ayer. Pero sigue siendo una burrada!!

    En mi empresa proveemos servicios de consultoria y soporte a un producto de software que solo en licencias se lleva el 60% de un presupuesto de 2 millones de euros anuales!! Quiere decir que el precio neto del mercado para “soporte” ronda los 400.000 euros al semestre, y damos soporte a cientos de usuarios. Cuantos parlamentarios habrá durante el gobierno español en europa?? miles??

    Además, conociendo a telefónica, seguro que los “tecnicos” que darán soporte serán pobres diablos saturados de trabajo en otros servicios, con una formación mediocre y unos sueldos aun más mediocres.

    Es un TIMO del gobierno a las arcas del estado que rellenamos TODOS con nuestros impuestos. Una vergüenza.

    Estoy de acuerdo con #14 , #16 , #18 y #21

    Responder
  25. mmadrigal Autor

    Muchas gracias a todos por los comentarios (independientemente de la opinión que muestren sobre el tema), respondo algunas preguntas que quedan en los comentarios
    Miguel
    Sobre si el enlace – script es el origen, creo que sí. NO quiero decir que el autor del script sea el responsable, quiero decir que alguien pulsó, hizo una captura, la colgó en una red social, los medios la vieron y lo dieron por buen sin más comprobación. Esa es mi opinión
    Sobre la adjudicación el documento es público, como todo el concurso. Gracias a eso sabemos que dotar de contenido la web cuesta 600.000 Euros, que lo ganó la agencia Efe compitiendo con el Grupo Lavinia que ofreció hacerlo por 700.000.
    Sobre mi opinión sobre la página permiteme que me la guarde. Yo soy un profesional de la informática desde 1986. Soy extremadamente crítico con mi propio trabajo, y extremadamente prudente en mi opinión sobre el de los demás. Un profesional debe convencer de que él es capaz de hacer algo mejor, no que los otros lo hacen mal. Eso creo
    Jorge
    La caída de la red no tiene que ver más que la concurrencia de conexiones (cómo el efecto menéame o digg). Las webs se dimensionan según la cantidad de gente que se prevee acceda al mismo tiempo (por decirlo más claro). Está claro que nadie esperaba el interés sobre la web, que por supuesto, es puntual.
    Reitero mi agradecimiento (y mi asombro) porque esto no se haya explicado desde el primer momento

    Responder
  26. Skiter

    Luego, segun comentas, la web(oncita) no sólo ha costado 12M de euros (iva incluido), sino que además cuesta 1M más (aprox si incluimos el iva).

    mmadrigal :
    [..]Sobre la adjudicación el documento es público, como todo el concurso. Gracias a eso sabemos que dotar de contenido la web cuesta 600.000 Euros, que lo ganó la agencia Efe compitiendo con el Grupo Lavinia que ofreció hacerlo por 700.000[..]

    Y lo peor no es eso, sino que se supone que se lo han adjudicado a Telefonica porque era “LA MEJOR OFERTA” del concurso?? Vamos hombre!!! Que todos sabemos como funcionan estos “concursos” publicos a medida de adjudicatario elegido…

    Si no es así, me tenia que haber presentado!!! por 6M de euros yo montaba la empresa (6000€), subcontrataba el diseño (400.000€), malcontrataba a 10 pobres diablos (por ETT, claro está..que solo son 6 meses de soporte = 1000€/mes *10 tios/as * 6meses = 60.000€) y aun me sobra poco menos de 5M de euros para comprarme un Yate, varios deportivos y a un par de “amigos” politicos para el siguiente timo xD

    En serio nadie lo ve???

    Responder
  27. isaac

    no hombre no…. no te das cuenta de que la mayor parte del dinero se va en “apoyo logístico y medios tecnológicos”?…. yo a mis clientes les facturo siempre con conceptos surrealistas sin ningún valor tangible, es la mejor forma de estafar!

    Responder
  28. Alfonso

    Un detalle que nadie menciona: La fecha de Adjudicación provisional (o sea que el contrato no estaba firmado) es del 22/12/2009. Cualquiera que trabaje en esto sabe que un portal así no se hace en una semana, es decir; Telefónica ya estaba trabajando ene ello, por lo que el concurso público de 12 millones ha sido una estafa.

    Clickar en Adjudicación provisional para ver la fecha del anuncio:
    http://www.mpr.es/ServiciosCiudadano/LicitacionesYContratosPublicos/201042.htm

    Responder
  29. mmadrigal Autor

    Señores les ruego que se ciñan a la entrada. Entiendo la pasión que tienen por defender sus ideas, pero aquí se habla de algo muy concreto. Por favor, si alguien cree que esto que ha sucedido es una estafa el lugar para reclamar es un juzgado, no este pobre blog
    saludos
    Alfonso
    La Web no la hizo Telefónica, estaba ya elaborada previamente.

    Responder
  30. mmadrigal Autor

    Maria Rosa
    En la adjudicación del día 22 no se contempla la elaboración de la web, si no su puesta en marcha. Tú sabes lo que significa.
    Sobre la Web no tengo actualmente la certeza de quien la hizo y no creo que tenga sentido añadir más rumores a todo esto, aunque en privado te digo lo que se

    Responder
  31. dagi3d

    Alfonso, o eso, o han cobrado esa talegada por currar una semana, lo que no sé qué es peor…

    Responder
  32. Skiter

    mmadrigal :
    [..]La Web no la hizo Telefónica, estaba ya elaborada previamente[..]

    Pero el soporte si lo va a dar Telefonica, no?? el comentario de #30 (Alfonso) no hace más que ratificar lo que yo decia de los “concursos a medida”.

    Cualquiera puede consultar la propiedad del dominio en http://www.nic.es y ver que el registro viene aún de más lejos 14 Mayo 2009 (que encima nos costará un año de renovacion para no ser utilizada nunca más).

    Volviendo al tema del articulo, y para que el Sr. MMadrigal no se enfade (respetemos sus deseos, siempre ante todo,respeto), me sigue pareciendo demasiado dinero para semejantes fallos de seguridad y falta de prevision. Creo que el tema calidad/precio está directamente relacionado…mis disculpas.

    Responder
  33. Skiter

    mmadrigal :
    Maria Rosa
    En la adjudicación del día 22 no se contempla la elaboración de la web, si no su puesta en marcha. Tú sabes lo que significa[..]

    Por cierto…en base a eso, se añade medio millon de euros más al coste, no??

    – 12 M€ (iva incl.) por soporte y “logistica”
    – 700 K€ (sin iva.) por los contenidos
    – 400 K€ (sin iva.) por crear la web
    – ?? K€ (por registrar el dominio cuanto??)

    A mi incluyendo el iva se me sube mucho ya, no?? 13’5 M€ aprox

    😛

    Responder
  34. Maria Rosa Diez

    Marce, en la adjudicación se habla de dar servicios de videostreaming y multimedia y otros temas en los que hay que contar con el hosting.

    Todo ello da que pensar que ha sido un concurso a dedo.

    Concurso que ha ganado una empresa que no ofrece lo que se le paga: “seguridad” de una web (UNA, como dice la nota de adjudicación), y ofrece una ínfima calidad de ancho de banda cuando tiene un pico de visitas, provocando que se caiga.

    Aunque te duela leerlo, es una chapuza.

    Responder
  35. mmadrigal Autor

    Maria Rosa
    A mi no me duele nada leer ninguna opinión, pero estás equivocada en lo que respecta al ancho de banda. Ese no ha sido el problema.
    Sobre lo del dedo si tienes pruebas de que ha sido así deberías ir a un juzgado y denunciarlo

    Responder
  36. Skiter

    MMadrigal…viendo los comentarios y la linea argumental del articulo, me equivoco si concluyo por ti que te parece peor la falta de rigurosidad periodistica y emotividad de los internautas, que el pastizal desembolsado y los fallos en seguridad??

    Me parece una pregunta interesante para ser respondida, y ver si hay tambien emotividad en el sentido pro-gobierno, o pura rigurosidad técnica e informativa, como comentabas arriba.

    Responder
  37. Maria Rosa Diez

    Y otra cosa:

    Moncloa dice que no hubo tal bug, sino un “fotomontaje” distribuido por las redes sociales: http://twitter.com/desdelamoncloa/status/7375327879

    Y, sin embargo, manda a los Cuerpos de Seguridad del Estado a investigarlo.

    Si es un fotomontaje, a quien quiere engañar? a los cuerpos de seguridad? a los ciudadanos?

    Repito que, con esta “transparencia”, no creo que sean ellos las víctimas de todo esto.

    Es de lógica que nosotros, los ciudadanos, exijamos una explicación de en qué se gastan nuestro dinero, y más si falla tan estrepitosamente, y luego nos quieran engañar con “fotomontajes”.

    Responder
  38. Pep

    pues estoy con skiter y con maria rosa diez.

    esto es un cantazo, una BARBARIDAD. y lo peor es que lo pagamos todos…

    Responder
  39. jnovonj

    Hola a todos,

    La explicación del lo que significa un XSS (Cross-site scripting es muy acertada, parcial, pero acertada (Faltaría un dato: en todos los manuales de seguridad informática lo consideran una vulnerabilidad)
    Desde un punto de vista técnico, purista, es un fallo muy grave para una página de esa importancia y relevancia. No se puede permitir que eso se pueda hacer. Y el punto esta en que la página lo permite. El servidor Web de http://www.eu2010.es permite esas cosas. Son MENOS de 400k € y eso da para poco es verdad. Pero entonces que se gasten más. O que sub-sub-sub-contraten mejor

    No lo permiten sitios como Google:

    http://www.google.com/?query=%3Cscript%3Edocument.write%28%27%3Cimg+src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22+%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en

    y no lo permite la página de mi pueblo.

    http://www.rodeiroag.es/?query=%3Cscript%3Edocument.write%28%27%3Cimg+src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22+%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en

    Luego si yo fuera un político A o un político B ya me buscaría yo la manera de arrimar el ascua a mi sardina, que de eso se trata y no de otra cosa.

    Pero se puede decir que la pagina tiene o tenia una vulnerabilidad XSS no se puede negar. Perdón, perdón, se puede negar pero no sería verdad, que tampoco es lo mismo.

    document.write(‘http://www.rodeiroag.es‘)

    Un Saludo a todos.

    Responder
  40. Maria Rosa Diez

    Denunciar al gobierno porque un proveedor no suministre lo contratado?.

    Si tuviera que hacerlo, me gastaría más de lo que tengo en poner denuncia tras denuncia.

    Marce, tengo todo mi derecho a quejarme, sin por ello estar obligada a denunciar.

    Tengo el derecho a quejarme si, además, me quieren engañar hablando de “fotomontajes” y zarandajas por el estilo.

    Tengo el derecho a quejarme si ordenan a los cuerpos de seguridad del estado que investiguen lo que ellos mismos dicen que no existe. O engañan a estos, o a los ciudadanos.

    Y, todo ello, sin tener que denunciar, que además no vale para nada.

    Que no ha sido un hackeo, sino un bug? Mejor me lo pones. No ha hecho falta meterse en la página para poner al descubierto un fallo. Algo mucho más fácil.

    En definitiva, Marce. Tenemos el derecho a quejarnos. Y con razón.

    Responder
  41. mmadrigal Autor

    Maria Rosa y demás comentarista
    Hoy está lloviendo
    Vulnerabilidad – Si sales sin paraguas te puedes mojar
    Hackeo – Salgo con paraguas y mi vecino me lo llenado de agujeros. Me mojo
    Esa es la diferencia

    Responder
  42. Alfonso

    Efectivamente, leyendo el título del pliego parece que el desarrollo de la web no es de Telefónica, pero sí la explotación y seguridad. Antes de poner en producción un portal de esta visibilidad, se deben pasar una auditoría de seguridad, y obviamente no se ha hecho (me imagino que las prisas por salir tendrán la culpa, pero en un proyecto de este volumen, no hay excusa). Por cierto, sería muy interesante darle un vistazo a los pliegos de este concurso y el de la web, si alguien los encuenta, que los postee , por favor.

    Responder
  43. Pandora

    Por que pones tanto empeño en defender a Telefónica cuando es indefendible lo que ha hecho? Es por tu empresa?
    Un XSS en una pagina como esta es una gran cagada en seguridad informatica y es una vulnerabilidad que brilla como como una luciernaga en un bosque.
    Y si no ponte a explicar ahora en el Telediario que no. Que realmente la foto de Mr. Bean estaba en otro servidor. ¿A quien le importa?

    Responder
  44. miniservers

    Pues la empresa que hay detras no se toma las cosas muy en serio cuando el DNS de eu2010.es esta sobre una única IP y en un servidor Debian etch desactualizada con Bind vulnerable y para mas inri un plesk 9.2 . El servidor tiene abierto el SSH , mysql …. . Puedes ver las versiones de la maquina DNS aqui http://webmail.digival.org/imp/test.php

    Una chapuza de mucho cuidado .

    Responder
  45. Anselmo

    Sr. Marcelino, que vd. hable de rigurosidad dando por hecho un comentario de meneame es de guasa. En contrataciondelestado.es se puede ver el pliego de licitación y exactamente dice que los 9,6 millones de euros+impuestos es en concepto de ‘Servicio de asistencia técnica para la instalación y funcionamiento de los medios de telecomunicaciones, sistemas informáticos, servicios de videostreaming y alojamiento, gestión y seguridad de la página WEB para la Presidencia Española de la Unión Europea’.

    Por favor aporte el pliego técnico detallado o algo más para que los demás también podamos dar por cierto ese comentario.

    Responder
  46. Santi C

    Eso explica porqué me metía en la web y no veía a Mr. Bean, pensaba que habían sido rápidos corrigiendo los cambios del graciosillo. Ahora me avergüenza que un “Juanker” me la colara en menéame 😛

    Responder
  47. sdf

    Respecto a lo de que si se descubre una vulnerabilidad, se avisa primero al administrador, no lo tendría yo tan claro.
    Lo normal es que lo ignoren y no hagan nada.
    La segunda más probable opción es que te denuncien por hacker.

    Responder
  48. indignado

    400mil euros por una web de 6 meses basada en opencms es sencillamente una ESTAFA, no se que intereses tendrá el autor de este artículo con el psoe o telefónica, pero salta a la vista que NO ES OBJETIVO, en cuanto a la explicación técnica del “hackeo” es correcta, y cualquiera que lea meneame ya la conocía, de todos modos es lo de menos, lo fuerte de la noticia es el dineral que nos han timado a todos los españoles en esa web.

    Responder
  49. Skiter

    #47 mmadrigal
    Vulnerabilidad – Si sales sin paraguas te puedes mojar
    Hackeo – Salgo con paraguas y mi vecino me lo llenado de agujeros. Me mojo
    Chollo – conseguir un contrato estatal y cobrarlo a precio de genio
    Timo – pagarle una pasta al “genio” porque salga a llevar una carta sin paraguas (se puede mojar, y joderse la carta)

    Asi lo veo yo.

    Responder
  50. Javier

    Amigo Madrigal, es correcto que un XSS no es “un hackeo” del servidor, pero sí es un fallo de seguridad del que el servidor, o la aplicación que corre en él, es directamente responsable.
    Esta vez fue una imagen, pero las vulnerabilidades XSS va mucho más allá, por lo que sigo insistiendo que es una gran “metida de pata” por parte del becario de telefónica que realizase la auditoría de hacking ético.

    Responder
  51. jneira

    mmadrigal :
    Maria Rosa
    En la adjudicación del día 22 no se contempla la elaboración de la web, si no su puesta en marcha. Tú sabes lo que significa.
    Sobre la Web no tengo actualmente la certeza de quien la hizo y no creo que tenga sentido añadir más rumores a todo esto, aunque en privado te digo lo que se

    te pego algo del html de la pagina por si da pistas:
    “http://www.eu2010.es/system/modules/es.ieci.opencms.content/js/jquery.accessible-news-slider.js”

    me hace gracia sobre todo ver en el link no solo la empresa que lo ha hecho (iecisa creo) sino la tecnologia utilizada (opencms) y mas aun ver las dos cosas juntas (empresa privada + tecnologia open source) o sea ieci+op<=400k

    Ademas el texto de la adjudicacion es un poco ambiguo no?:

    "Objeto del Contrato
    * Servicio de asistencia técnica para la instalación y funcionamiento de los medios de telecomunicaciones, sistemas informáticos, servicios de videostreaming y alojamiento, gestión y seguridad de la página WEB para la Presidencia Española de la Unión Europea"

    tomado de http://contrataciondelestado.es/wps/wcm/connect/?MOD=PDMProxy&TYPE=personalization&ID=NONE&KEY=NONE&LIBRARY=/contentRoot/icm:libraries%5B17%5D&FOLDER=/25/33421/4284625/&DOC_NAME=/contentRoot/icm:libraries%5B17%5D/25/33421/4284625/DOC_CAN_PROV2009-137657.html&VERSION_NAME=NONE&VERSION_DATE=NONE&IGNORE_CACHE=false&CONVERT=NONE&MUST_CONVERT=false

    Responder
  52. other

    “Además incluye unos SLAs que meten miedo, y eso también se paga.”

    Pues ya veo para que ha valido. La web lleva dos dias caida

    Responder
  53. Ramiro

    mmadrigal,

    Creo tu pors tiene dos errores que deberías editar y corregir:

    1. Sitio web sin seguridad:
    El sitio web de la Presidencia de la UE tenía (y parece que sigue tieniendo graves vulnerabilidad explotables por hackers). Ayer demostró un fallo de seguridad simple que dejó en ridículo a los creadores del sitio y al Gobierno.

    2. Precio que pagó el Gobierno por el sitio web:

    El sitio web costó 11.940.000 EUR impuestos incluídos.

    El concepto es: Servicio de asistencia técnica para la instalación y funcionamiento de los medios de telecomunicaciones, sistemas informáticos, servicios de videostreaming y alojamiento, gestión y seguridad de la página WEB para la Presidencia Española de la Unión Europea (ver el enlace que puso #8 http://bit.ly/5qfEYg ).

    Responder
  54. Jose

    400k € en una web que emplea OpenCMS, plataforma que *NO* han parcheado y que *NO* se encuentra en alta disponibilidad.

    A mi me parece una estafa en toda regla.

    “5 – La vulnerabilidad existe, como en muchísimas webs, y debe ser corregida (si no se ha hecho ya). Pero insisto en que ningún caso se puede afirmar que nadie “hackeo la web”, al menos en mi opinión, sino más bien que si alguien “hackeo” algo fue los navegadores de la gente que pulsó el enlace para ofrecer la imagen que no existía, no estaba alojada en la web y en ningún caso pertenecía a nada que estuviera en la infraestructura de la web de Presidencia.”

    Existen soluciones técnicas para evitar esto. Y lo que si pertenece a la infraestructura de la web de la Presidencia es el código “erroneo”. Nadie ha “hackeado” mi navegador.

    “Triste y dice mucho sobre el nivel del periodismo actual.”
    No hay mucho que decir. A un ciudadano de a pie le importa un comino si la web ha sufrido un “hackeo + defacement” o es víctima de un fallo XSS. En ambos casos el problema lo tiene *la web* y no el ciudadano. No tratemos que quitarle importancia al asunto por motivos técnicos.

    “que finalmente quedará como una mancha en la capacidad de una empresa española que seguramente no merece”

    ¿Perdón? Una empresa con CPDs que ocupan varias manzanas de una ciudad y no es capaz de soportar el tirón de tráfico, que monta una solución Open Source sin preocuparse de parches y versiones, que cobra 400.000 € en hacer unas plantillas para OpenCMS, ¿no tiene la culpa? Se merece el escarnio público, y la valoración negativa en futuros concursos públicos.

    Este pliego tendrían que haber sido varios, y deberían haberse adjudicado a empresas con capacidad para desarrollar soluciones de este tipo por si mismas (que existen), y no a una que lo ha subcontratado a una cadena de X proveedores.

    Responder
  55. apestas

    Como se ven los que trabajan en seguridad cobrando de algún BB .. Por favor !! Si les han pillado por un XSS más razón, si el cliente hubiera sido una empresa privada, ya estaría puesta una denuncia para recuperar la pasta por daños y perjuicios, daños a la imagen, o alguna similar..

    Responder
  56. mpr

    A mí también me parece una burrada esa cantidad de dinero por el servicio prestado, pero con lo de probar que la adjudicación ha sido a dedo o que el importe es excesivo pasa como con las prostitutas de lujo, que aunque todo el mundo sepa que lo son apenas nadie puede “probarlas” y los que pueden no les interesa que se sepa. XD

    Responder
  57. Maria Rosa

    mmadrigal :
    Maria Rosa y demás comentarista
    Hoy está lloviendo
    Vulnerabilidad – Si sales sin paraguas te puedes mojar
    Hackeo – Salgo con paraguas y mi vecino me lo llenado de agujeros. Me mojo
    Esa es la diferencia

    Y tanto. Porque cobrar porque pongas un paraguas (seguridad) a una web y luego el cliente se moje con una gotita, es de risa.

    Responder
  58. Eduardo

    Como siempre, se exagera y se manipula, pero quiero apuntar 2 cosas:
    1. 400k€ es demasiado por una página de esas características.
    2. Lo de la alta disponibilidad, como se puede ver no es cierto.
    Podríamos concluir que el ataque más que poner la foto de mr bean mediante XSS, ha sido provocar una avalancha de peticiones que han tenido como consecuencia una denegación de servicio.

    Responder
  59. pau

    Javier: Probablemente un becario lo hubiera hecho mejor.
    Pagar por eso lo que han pagado, -por cierto, el corte inglés también moja- es de estúpidos, sinvergüenzas o ignorantes. A escoger.
    Por mí que hay un poco de todo, porque con solo uno no da para tanto.

    Responder
  60. Luis Sancho

    La verdad es que me cuesta creer que alguien que se dedica a esto pueda dar las explicaciones que se exponen en esta entrada, destinadas obviamente a aquellas personas a quien se pueda engañar por no conocer bien la materia. Podría contestar, una a una, a todos los puntos expuestos pero, por razones de espacio, seré moderadamente breve:

    Dato 1 -> La verdad es que, aunque fuera cierto que “sólo” 400k de los 9M de euros fueron destinados al desarrollo y alojamiento de la página, seguiría siendo una auténtica barbaridad por una web basada en OpenCMS sin ningún tipo de parche de seguridad. Aún así, sigo pensando que no queda claro que sean 400k.

    Dato 3 -> ¿Y esto nos lo está contando un informático? Decir que la web no ha sido “hackeada” es recurrir desesperadamente a la léxica para explicar lo inexplicable. Obviemos, pues, la palabra “hackeo” y digamos que la web, entonces, ha sido simplemente atacada o, como se suele decir, tirada abajo. Los ataques XSS o de inyección SQL no tienen como objetivo al cliente, el sistema cliente no es el objetivo, decir eso es una falacia; es el servidor el que es atacado, ya que, aunque es verdad que los archivos no son modificados en lo que a código se refiere, modifican la información que estos muestran en base al código que sí que se ha introducido en el sistema (código malicioso alojado en la base de datos de los sistemas esos tan seguros). Estos ataques son muy serios, y el Gobierno puede dar gracias porque se tratara de una página informativa y el atacante un gracioso, ya que es por eso que el ataque no ha tenido más importancia (el atacante podría sacar información crítica o tomar el mando como administrador).

    Dato 5 -> Creo que lo dejo suficientemente claro en el punto anterior.

    Dato 6 -> Exactamente lo mismo, si el atacante hubiera querido habría hecho más daño, pero se ha conformado con dejar una imagen de Mr. Bean en una página interior (no en la portada). Por cierto, la página sí existía.

    Puntos 7 y 8 -> No tengo nada más que decir.

    ¿A ver qué nos dicen ahora? Supongo que nada, porque, como decía ayer, la cosa es muy sencilla: Telefónica se las arregla para ganar un proyecto público por 11M, lo traspasa a IECISA por 800K y allí la web la hace el becario o junior de turno… Pero lo peor es que, al final, los que pagarán el pato serán el becario y su jefe (si acaso) 🙁

    Responder
  61. IALZA

    Luis Sancho el 5/Ene/2010 – Y el dato 2 y 4??? 😉 De acuerdo en todo, sobre todo en el final, vergüenza debería darles y vergüenza ajena me da.

    Responder
  62. mmadrigal Autor

    Luis Sancho
    A pesar de que yo no tengo ningún master IE (por el que exhibe en su blog) le diré que esta entrada está escrita para que la gente profana a estos temas entienda lo ocurrido.
    No señor, no tiene usted razón, y a mi también me parece mentira que un profesional diga lo que usted dice

    Los ataques Xss son de muchos tipos, y este que hemos visto es de lo más light. Es cierto que muchos inyectan código en la web haciendolos persistentes, pero no ha sido el caso porque la web no la han tocado. ¿Le queda claro así?.
    El atacante que usted dice no ha dejado nada en la web porque no ha modificado ni una línea del código en el servidor.
    Lo que se ha hecho, para que usted se informe, es utilizar el enlace del script, ocultarlo de una forma chapucera mediante un acortador de url, invitar a la gente a pulsarlo y realizar unas capturas que se subieron a una red social. ¿Se va enterando?
    Si realmente está usted preocupado por el tema exponga a los señores la norma número 1 de seguridad es NO HACER CLIC en un enlace dudoso, y la número 2 para los puristas es desactivar javascript de los navegadores (este punto hubiera inutilizado el script que se enmascaró? ¿Le parece bien?
    Lo demás es mala baba, como muchos comentarios de los que se ven aquí (y yo respeto) que no niegan en ningún momento los datos que aporto, que haciendole un resumen para que no se canse le vuelto a exponer
    1 – La web no costó 11 Millones de Euros
    2 – La web no fue hackeada, (a pesar de ser vulnerable a XSS) porque no se modificó nada en ella
    Saludos
    A todos los comentaristas (incluso a usted) agradecerles los comentarios en uno u otro sentido

    Responder
  63. Skiter

    Sr. mmadrigal
    Si le parece más adecuado, dejo de tutearle. Me parece correcto.

    Creo que a base de multiples comentarios en la misma linea, practicamente todos hemos entendido que los 11 millones (que son o 9 sin iva, o más 12 con iva…pero el 11 anda lejos del pico), se quedan sólamente para la seguridad, soporte y “logistica” (ni que los bits hubiera que llevarlos en camion, oiga), a los que habria que añadir 400k de la creacion de la web y los 700K de los contenidos (se acerca ya mas a 14 Millones que a 11, no??).

    Espero que no se haya cansado usted tampoco de repetirse, porque lo va a seguir aciendo si continua con las “orejeras borriqueras” puestas y no quiere ver que lo molesto, insultante y vergonzoso que criticamos es que, sin haber sido un hacking, sin ni siquiera un ataque directo de denegacion de servicio, sino simplemente una consecuencia de una “gracia” visual muy popular, la tan cara y costosa pagina se ha visto afectada y neutralizada, a pesar de los servicios contratados por “11 millones” (doce), lo cual es INACEPTABLE, en proporcion a su coste.

    Y a estas alturas del dia de hoy, la pagina lleva ya mas de ¡¡¡5 horas!!! caida, inutilizable o…sugierame una excusa, por favor…que yo no la encuentro.

    Responder
  64. mmadrigal Autor

    Skiter
    Le sugiero que pida explicaciones a quien crea usted que es responsable de ese mal. Yo no puedo contarle a usted más que lo que aquí he expuesto.
    Por supuesto me puede usted tutear ;D

    Responder
  65. Skiter

    aciendo sin h!!! mis disculpas!!! fueron las prisas, que vienen los reyes y me quedo sin caramelos!!! :S

    Responder
  66. Skiter

    MMadrigal, que metodo me recomendaria usted para hacerme oir?? Como ciudadano creo que alli arriba me escuchan poco, votar ya voté y sirvió de poco.

    Asi que por ahora, solo puedo seguir iniciativas como el grupo de facebook http://www.facebook.com/group.php?gid=409455760353

    Se apunta usted conmigo?? va contra el derroche, no contra los fallos tecnologicos ;D

    Responder
  67. Uno que otro

    Simplemente comentaros si sabéis lo que cuesta el HW que está soportando esa página web y cuánto cuestan las licencias de Weblogic que entiendo que llevará la aplicación web (dejémosle de llamar página web, por favor), si saben cuánto se lleva Oracle y Bea por los servicios de sopote que dan, y a partir de ahí, piense cuánto cuesta mantener a un equipo de ingenieros de guarida por si ocurre algo.
    Entiendo que a todos los que decís que el dinero que cuesta es mucho, que es un robo y que ha sido adjudicado a mano, es porque habéis hecho muchos presupuestos y sabés cuánto cuesta lo que he comentado en el este comentario.

    Responder
  68. Pacucho

    increible la disonancia cognitiva de los militantes y simpatizantes del psoe.

    Señores: esto no es fútbol, es dinero público.
    cuanto antes admitan el error y deriven responsabilidades para parar esta estafa y meter en la cárcel a los responsables, antes recuperarán la imagen política.

    Lamento comunicarles que SI ha costado 9.620.000 euros
    vuelvo a poner el enlace de la adjudicación oficial porque parece ser que dicha disonancia cognitiva les impide ver la sonrojante realidad.

    http://bit.ly/5qfEYg

    Lo malo es que no dimitirá nadie ni se revocará la contrata.
    Lo bueno es que se ha hecho justicia poética (gracias Mr Bean)

    Responder
  69. x24

    no sé cómo se hace pero es nombrar meneame en un post y que los trolls-censores de allí, acaben aquí (o donde se les mente) ipso facto 😀

    Responder
  70. Tonterias

    Es que me parto, hablas de contrastar noticias y presentas como fuente de tu “estudio” meneame xDDD

    En fin, que son todos unos desgraciados ladrones que merecen que los encarcelen de por vida!!!

    Leña al mono que es de goma!!

    Responder
  71. Edu

    mmadrigal, otro voto más a favor de que esta noticia merece el cachondeo generado.

    400.000€ por maquetar una web OpenCMS, tener la web caída durante horas (¿o días?), y sufrir un exploit ridículo por XSS no da para menos…

    Responder
  72. LAMS

    Es evidente que solamente hay dos opciones:

    1) esta gente del gobierno es completamente estúpida y se deja robar por los de siempre.

    2) Alguien esta metiendo la mano en la caja de las galletas. Vamos que como siempre nos están robando a manos llenas.

    En mi opinión se trata presumiblemente de ambas cosas.

    Ahora encima nos cuentan que van a arreglar los problemas económicos de toda Europa con unos sabios que se limitan a Felipe González (quien ya destruyo en una ocasión la economía de este país y que protagonizo un gobierno el el que se asesino y se secuestro a personas, en algunos casos inocentes) Solbes (quien destruyo la economía de este país en dos ocasiones, dejando su cargo en ambos casos con varios millones de parados) Es una vergüenza que estos dos individuos de dudosa catadura moral estén aún en la vida publica en lugar de en estar en algún sitio donde no puedan hacer más daño. Finalmente tenemos a Delors que no se si ha venido engañado o simplemente a por lo suyo.

    El caso es que somos de nuevo el hazmerreir de toda Europa y de sus medios de comunicación que se preguntan, con toda la razón, ¿que cojones va a arreglar un individuo que ha protagonizado la peor gestión de la crisis de todo el mundo? Medios que ya le han aconsejado que se deje en casa a la ministra Salgado ya que por Europa no la quieren ni ver.

    Y es que para gestionar una crisis fundamentalmente de consumo no hay nada mejor que las peregrinas ideas de nuestra ministra de economía (profesión que por cierto jamás ejerció) como subir los impuestos y el gasto publico. Mire señora regrese usted a primero de carrera y relea el tema de la elasticidad oferta de la demanda.

    A ver cuando es el día que como dicen ustedes se enfrenta a los poderosos. Poderosos como los Bancos (a los que están financiando), a las cajas (que son el principal problema de nuestra economía y están gobernadas por políticos), a los medios de comunicación (a los que van a hacer una ley audiovisual a medida con 29 minutos de publicidad por hora sin incluir la autopromoción y los programas estafa que nos cuelan por la noche. Medios que además se van a agrupar para fomentar la pluralidad de opiniones, que en futuro serán dos) a las operadoras de telefonía (que estan haciendo el agosto en este país desde hace ya años) a la SGAE (única entidad privada del mundo que recauda sus propios impuestos en forma de canon, de cuyo reparto no dan explicaciones a nadie desapareciendo en el proceso un 15%, y a la que también han hecho una ley a medida para que coarte nuestra libertad en Internet)

    Lo dicho, o son completamente incompetentes o se llevan parte del pastel. Y es que el problema reside en que en España se ha creado desde hace años una nueva clase social en la que están incluidos los políticos de todos los signos sus secuaces anteriormente mencionados y cuatro famosillos en busca de gloria. Gentes que ademas no se cortan y nos enseñan por sus medios de comunicación sus grandes fiestas llenas de todos tipo de fastos, mientras los demás sufrimos los rigores de la crisis.

    Mucho me temo que hasta que no nos levantemos y ERRADIQUEMOS esta nueva clase social corrompida hasta la médula no conseguiremos regenerar este régimen dictatorial de partidos políticos corruptos en que nos encontramos.

    Por cierto, quien defiende tanto lo indefendible, o forma parte del la mencionada clase o no se entra de nada. Espero que te paguen muy bien los socialistas, solamente es cuestión de saber cuanto vale tu dignidad.

    Responder
  73. neutral

    Efectivamente sr lams , solo hay dos opciones , una es pensar que en todas partes hay sinverguenzas que se aprovechan del dinero publico , por desgracia , empezamos robando las tizas de la escuela y acabamos en cualquier cargo publico aceptando comisiones por conceder “favores”. Y la otra opcion es decir que
    este gobierno es peor que el de mi partido sin ver ni dejar ver , que : el de mi partido lo esta haciendo igual o peor en los sitios que gobierna y que los sinverguenzas de uno son primos de los del otro y muchas veces de la misma familia politica , son los mismos o los hijos de los que nos vienen robando a los contribuyentes desde hace 1000 años ,
    Lo de los informaticos que gastan bromas , pues es
    como los “virus” alguien empeñado en fastidiar , sacando el unico beneficio de que se hable de ellos y en estos casos arrimar el ascua a su sardina , sin ver que hacen daño a todos (España) al ridiculizar nuestras instituciones , ya que sea del partido que quiera o de la provincia que sea , al final es la Nacion la que se pone en entredicho

    Responder
  74. beut

    Muy bueno su comentario. Entraré en su blog cuanto pueda. Tiene usted mucha razón. Hay que estar “mal de la cabeza” ( o querer airear noticia y tener mala idea) para que alguien crea que la seguridad cuesta 11 millones. No sé si la gente sabe que hay muchísimas reuniones en la PEUE en diversos lugares de españa y fuera. Todo eso (líneas, wifi, móviles, transmisión, equipos, codificación, CDN…) está incluido en los 11, millones… supongo.

    Responder
  75. marta

    Hay un error de base. El contrato por once millones de euros firmado por el ministerio de Presidencia con telefónica era por todo el trabajo de la compañía (cableado, adsl, cobertura técnica de eventos) para todos los actos de la Presidencia española de la UE y sólo 600.000 euros para alojamiento, seguridad y mantenimiento técnico de la web de la Presidencia. Si mirasisel contrato con clma, y sin mala leche, lo veréis.Cuando hay que criticar soy la primera, pero me revienta hacerlo tendenciosamente y sin fundamento.

    Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *