Hack en el Ministerio del Interior

DETIENEN A UN JOVEN DE MURCIA, ACUSADO DE ROBAR FICHEROS DE UN ORDENADOR DEL MINISTERIO DEL INTERIOR, POR INTERNET

El viernes pasado, la Unidad de Delitos Informáticos de la Guardia Civil detenía a Daniel O.C., de 22 años, acusado de robar dos ficheros del ordenador ulises.mir.es, propiedad del Ministerio del Interior. Así culmina un año de investigación de unos hechos, ocurridos el 6 de junio de 1998, que han merecido la atención de las más altas instancias del gobierno. Lo desproporcionado de la detención, ya que el joven continúa en estos momentos incomunicado en prisión, ha indignado a su familia.

"Esto es una detención a lo Kevin Mitnick", asegura Carlos Sánchez Almedia, abogado defensor, junto a Ramón Quiñonero, de Daniel O.C., el joven encarcelado en el depósito del juzgado de Lorca desde el pasado viernes. Aquel día, a las 12 del mediodía, nueve agentes de la Guardia Civil, algunos desplazados desde Madrid, irrumpían en su casa "como si fuera una operación comando, tratándolo como a un terrorista", se queja su padre, Ramón Ortiz, respetable empresario de la pequeña ciudad, de 20.000 habitantes.
Los hechos de se acusa a su hijo se remontan al sábado, 6 de junio de 1998, cuando a las 01.22.54 horas el ordenador ulises.mir.es, propiedad del Ministerio del Interior, registraba un acceso no autorizado a los cruciales ficheros /etc/hosts y /etc/passwd, que el intruso copió y envió a la dirección de correo electrónico terapia83@hotmail.com. A partir de estos ficheros y con la ayuda de programas adecuados es posible inferir como entrar plenamente en la máquina.
El suceso se denunció y recayó en el juzgado número 8 de Madrid, que hizo una comisión rogatoria para que el Federal Bureau of Investigation (FBI) intercediese para que la empresa norteamericana de correo gratuito Hotmail Corporation colaborase con la Guardia Civil, facilitándole los registros de acceso a la dirección terapia83@hotmail.com. Con estos registros, es posible saber de qué ordenador procede la persona que ha consultado el correo, gracias a la llamada dirección IP (Internet Protocol). Los expertos en seguridad dudaban que, si el atacante era una auténtico 'hacker', esta dirección pudiese llevar a alguna parte y no fuese más que una dirección enmascarada, un puente o una trampa.
La Guardia Civil esperó y, hace unos meses, Hotmail por fin les facilitó la IP, que les llevó directamente a un proveedor de acceso español y, de aquí, a conocer las cuatro primeras cifras de un número de teléfono que coincidía con el usuario "terapia". Según fuentes del cuerpo, de esta operación destacan la estrecha colaboración internacional, también con la Interpol, y el orgullo de haber encontrado a un presunto culpable, cuando el propio subsecretario de Interior, Leopoldo Calvo-Sotelo, había dudado de ello.
Daniel O.C. está acusado de revelación de secretos, un delito castigado con penas de prisión de hasta cuatro años. Desde su detención el viernes sigue en prisión sin fianza, "a pesar de no tener antecedentes ni tratarse de un caso de alarma social", denuncia Sánchez Almeida. Hacía un año que Daniel se había conectado por primera vez a Internet y hace tres meses se dió de baja y se vendió el ordenador, porque "se envició con las charlas", según su padre, preocupado porque "nadie le va a quitar el trauma por las medidas irracionales y desproporcionadas que se han tomado contra él, retenido cinco días ya en una habitación de 5 metros cuadrados, sin ventana y con un agujero por váter, sólo porque su número de teléfono empieza por 9684 y en su habitación encontraron un libro llamado "Hackers"".

6/99

EL CASO DEL PRESUNTO HACKER DE INTERIOR SE DESINFLA

Mercè Molist
El viernes pasado salía en libertad Daniel O.C., el joven de 22 años, natural de Águilas y encarcelado durante seis días en Lorca (Murcia), por un presunto delito de revelación de secretos. Según el sumario judicial, se le acusa de haber intentado robar dos ficheros de un ordenador del Ministerio del Interior español, usando técnicas de 'hacking'. Expertos consultados discrepan tanto de las pruebas como de los motivos para la denuncia.
"Soy inocente y se va a demostrar", declaraba Daniel nada más salir de prisión donde, según su padre, un empresario de Águilas, se le había sometido a un trato "antiterrorista". El joven repetía: "Salgo avergonzado de la justicia española, por meter a una persona en la cárcel toda una semana y sin fianza, cuando había cierta duda". ¿Después de haber aparecido incluso en los informativos de Tele 5, va a volver a tocar un ordenador en su vida? "Me gustan los ordenadores y no lo voy a dejar nunca", afirmaba convencido.
Los hechos de que se le acusa se refieren a un intento de entrada, el 6 de junio de 1998, al servidor web del Ministerio del Interior, en el contexto de una especie de "ciberbombardeo", según relata el informe que hizo el ministerio: "Se han venido produciendo ataques sistemáticos desde servidores gratuitos de Internet al servidor Corporativo de Interior. Proceden todos de lugares similares, lo que puede llevar a la conclusión de que se trata de un ataque coordinado y masivo para hacerse con el control de la máquina".
Según expertos consultados, el atacante denunciado posiblemente intentó un viejo truco para que los archivos /etc/hosts, donde se guarda información del sistema, y /etc/passwd, con las contraseñas de los usuarios, se enviasen automáticamente a una dirección de correo: terapia83@hotmail.com, que quedó grabada en el registro de la máquina. Según el sumario, "la persona responsable produjo un fallo al teclear la orden de copia erróneamente, quedando reflejada su intención de envío de los ficheros a la cuenta de correo de Hotmail".
Esta empresa norteamericana, con la mediación del FBI, facilitó el nombre y los registros de la persona que accedía usualmente a esta cuenta. A partir de aquí, se dio con un proveedor español que tenía un cliente con el mismo sobrenombre: "Cotejada la información facilitada por la empresa Serconet en relación al usuario "terapia" y la recibida de Hotmail en relación al usuario "terapia83", se puede comprobar la coincidencia, de fecha, hora y número IP asignado a las conexiones", dice el sumario.
Pero los abogados defensores, Ramón Quiñonero y Carlos Sánchez Almeida, no lo ven tan claro: "Así se demuestra sólo una parte del triángulo, no que la persona que entró en Interior fuera 'terapia': cualquiera puede enviar un mensaje de correo a cualquiera". Tampoco lo ve claro Manuel Medina, director del Computer Emergency Response Team (CERT) español: "La IP dinámica de un proveedor no permite identificar a una persona: cada vez que conectas es diferente, a no ser que uses una IP fija y demuestres que nadie la ha suplantado. Si el joven tenía verdadero espíritu hacker, podía compartir la IP con otra gente. Dudo también que puedan demostrar que las llamadas al proveedor venían de su número de teléfono".
Además, recuerda el director del CERT, "si el intruso ha explotado una vulnerabilidad conocida, es como ir por la calle, ver un patio abierto, entrar a mirar y coger cuatro pastelitos de una bandeja. A quien se debería procesar es al que ha dejado un fichero de contraseñas de usuarios sin protección, porque hay una ley que dice que nuestros datos personales tienen que estar protegidos". Algo parecido opina Sánchez Almeida: "Cuesta creer que los secretos de estado estén a disposición de todo el mundo en Internet".