Ves un número ahí, al final de la url, un dígito, valor de una variable, posiblemente de tipo entero, aparentemente tan desguarnecido que resulta imposible oponer resistencia a la tentación de agregar a la dirección web un argumento booleano, un “+and+1=1+–+”, y luego, cuando el resultado es positivo, un valor opuesto, esta vez un “+and+1=2+–+”, y comprobar que sí, que es vulnerable. Entonces se desencadena la catástrofe porque ignorando la prudencia del investigador te entregás al desenfreno de un adicto y lanzás sqlmap con los argumentos necesarios para que precipite las tablas o base de datos o columnas o passwords o lo que sea que hayas deseado porque en ese momento, cegado de poder, te crees impune como un cocainómano que descree de las consecuencias en el apogeo de su goce. Y la información se desnuda ante ti como una catarata colorida, como las rejas de una prisión al cerrarse y golpear contra la pared.
La información que ambicionabas del sitio vulnerable te reveló algo más, algo que sabés ahora, que presentís como certeza antes que llegue la policía, la asesoría jurídica de amigos o los titulares sensacionalistas de los medios digitales: pagaste la libertad de la información con tu libertad.
PD: La versión original de este texto fue publicado en medium el 20 de abril del 2017.