EL INFORME PERICIAL DEL ES-CERT AÑADE NUEVOS DATOS AL "CASO HISPAHACK"
 

Mercè Molist
La aparición de un nuevo implicado, la constatación que el grupo actuaba por todo el mundo y el descubrimiento de abundantes herramientas "hacker", en tres ordenadores relacionados con el "caso Hispahack", son los principales datos que aporta el informe pericial hecho por el esCERT (Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas). Coincidiendo con la aparición del informe, uno de los imputados, Carlos Sánchez Almeida, ha sido declarado libre de todos los cargos.
El "caso Hispahack" estalló a primeros de abril de 1998, cuando la Guardia Civil detuvo, por revelación de secretos y daños informáticos, a cuatro personas -apodadas Stk, Jfs, JR y Magne-, presuntos miembros del grupo !Hispahack, y requisó tres ordenadores, dos propiedad de Jfs y uno, del bar mallorquín La Red Café, a los que el esCERT acaba de hacer la "autopsia".
En el servidor del cibercafé se ha hallado, según el informe, una cuenta de FTP (protocolo de transferencia de ficheros) llamada ‘hispahack’, con "gran cantidad de ficheros que contienen información sobre vulnerabilidades de máquinas, programas para explotar fallos de seguridad, ‘sniffers’ y otras utilidades de ‘hacking’", en diferentes subdirectorios pertenecientes a miembros del grupo. Para complicarlo aún más, aparece un tercer hombre en escena, hasta ahora desconocido y con el código de usuario "thelobo", que no accede a la máquina por Internet sino directamente por el teclado y "conoce la existencia y el contenido de la cuenta ‘hispahack’".
Pero lo más interesante está en los dos ordenadores pertenecientes a Jfs donde, además de todo tipo de herramientas ‘hacker’ (programas para obtener prvilegios de "root" o administrador, programas de denegación de servicio, de "sniffer" -rastreador de información- y camuflaje, para romper llaves de paso...), hay ficheros de contraseñas presuntamente robados en máquinas de todo el mundo, desde Tailandia a Kiev pasando por Suecia, Canadá, Australia, universidades de Nevada, Yale y España e, incluso, un fichero moncloa.pwd y otro mil.pwd. En total, 9.459 cuentas, la mayoría aún no descifradas.
Uno de los ordenadores tenía las salidas de dos "sniffers", instalados en máquinas de las universidades de Barcelona y Oxford, en las que se habían introducido también puertas traseras de acceso como "root". Existen evidencias de que Jfs tenía acceso libre a otros ordenadores de Gran Bretaña, Alemania y el CERN (Laboratorio Europeo de Partículas Físicas), en Suiza.
Pero hay un detalle, que puede invalidar todas las pruebas encontradas: las máquinas fueron requisadas y, teóricamente, precintadas por la Guardia Civil el 2 de abril. En cambio, el informe dice claramente que "el último día que arrancó dicho ordenador -refiriéndose a uno de los de Jfs- fue el 9 de abril a las 21:49:34". ¿Quién realizó este acceso? ¿Introdujo acaso pruebas falsas? Un detalle más: el esCERT pertenece a la Universitat Politècnica de Catalunya, parte implicada como denunciante. El peritaje, por tanto, no se puede calificar de independiente.
Son sólo algunos puntos oscuros de un caso que ha tenido más, sobre todo referidos a la actuación policial: ¿Por qué no se requisó también el ordenador de Stk, igualmente acusado junto con Jfs? ¿Por qué se dijo y se magnificó que el grupo había entrado en ordenadores de la NASA, basándose simplemente en la declaración de Stk, que admitió haber hecho sólo un ‘telnet’ (llegar a la puerta del ordenador, sin entrar)? ¿Es cierto que se presionó con amenazas a alguien de Madrid, para que revelase la identidad de Jfs? ¿Puede considerarse un .log (un archivo de texto donde se "graban" los pasos de quien accede a un sistema, fácilmente manipulable) prueba suficiente para dirimir que fue Jfs quién atacó la Politécnica?
En cuanto a JR, el profesor de informática, ¿por qué se le detuvo, con la simple base de que aparece en una foto, firma un artículo de la ‘web’ de Hispahack y es de Asturias, si no tiene ni ordenador en casa? Aunque hubo accesos no autorizados a la Politècnica de Catalunya, desde una máquina obsoleta y poco vigilada de la universidad de Oviedo, está demostrado que se entró en ella a través de la red y no por el teclado...
Por lo que respecta a la investigación preliminar, especificada en el sumario al que ha tenido acceso Ciberp@is, asusta ver como cuatro importantes proveedores de acceso a Internet españoles facilitaron, sin orden judicial de por medio, absolutamente todos los datos que tenían de las direcciones de correo que les consultó la Guardia Civil, sin ningún respeto por la privacidad de sus clientes. O, por ejemplo, es de risa que se presenten como pruebas del sumario las páginas de la antigua "web" de !Hispahack, sin haber contado con la presencia de un notario a la hora de imprimirlas.
Por otra parte, y volviendo al contenido de los ordenadores de Jfs, según expertos consultados parece increible que un auténtico "hacker" malicioso, con la carga de paranoia que esto implica, tenga en sus máquinas tanto material sensible sin encriptar o con algún mecanismo de defensa, por si accede a ellas un desconocido. Aunque, según otros expertos, la razón sería que "iban muy confiados". Sea como sea, hay demasiados cabos sueltos que pueden convertir una detención espectacular en un futuro juicio con muy poca substancia.
 
 
 
 

!HISPAHACK: LA PELÍCULA
 

"!Hispahack es bastante privado. Somos un grupo cerrado, que incorpora gente esporádicamente, si tiene un cierto nivel y un interés por hacer cosas. Publicamos un "webzine", llamado "Mentas Inquietas", hacemos programas que ofrecemos al público, trabajamos en proyectos y intercambiamos conocimientos", describe LeC, miembro activo del grupo -que no desapareció tras las detenciones-, e interesado por acabar con el sensacionalismo que ha rodeado el llamado "caso Hispahack".
!H o !Hispahack nació en 1992, en un canal de chat de Undernet. Su vida transcurrió plácidamente hasta que, el 31 de octubre de 1997, alguien accedió y manipuló la página principal en la "web" del Congreso de Diputados español, dejando este mensaje: "Cuantos diputados y cuantas comisiones harán falta para descubrir que poner un ordenador en internet no es sólo enchufarlo [Manda guebos!!... 1-3, seguimos avanzando!] (!H)".
A partir de aquí, según LeC, empezó la "venganza": "La Guardia Civil comenzó a moverse entonces... ¿qué coincidencia, no? Y empezaron a encontrar cosas relacionadas con !Hispahack". Según se desprende del sumario, dos días después, el 2 de noviembre, alguien, desde una dirección de correo anónima, envia a las fuerzas de seguridad una dirección en la "web", donde había una fotografía con algunos de los miembros del grupo.
Posteriormente, la Guardia Civil descubre la página-nodriza de !Hispahack, situada en el servidor norteamericano Angelfire, e investiga los artículos, nombres y direcciones de correo que allí aparecían: Jafasa, J-R, Zebal, Shooting, LeC y spEEdfire. Justo al mismo tiempo, el 20 de enero, un proveedor de acceso a Internet, sito en Girona, presenta una denuncia contra Magne y Stk, este último presuntamente miembro de !Hispahack, ya que así se desprendía del dominio con el que se conectaba a la red. Según el proveedor, habían entrado ilegalmente en una de sus máquinas y habían robado las claves de acceso y nombres de usuario de 2.500 clientes, entre marzo y septiembre de 1997.
Meses después, el 25 de marzo, la Universitat Politècnica de Catalunya (UPC) denuncia haber sufrido un ataque, el 11 de septiembre de 1997, con la obtención de privilegios de administrador en 16 ordenadores de un departamento, a 5 de los cuales les han instalado un "sniffer". La acción es realmente temeraria, ya que en la UPC reside el Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas (esCERT), la auténtica policía del ciberespacio.
El esCERT coordina ahora la investigación. Se descubre que los atacantes entraron desde una estación de trabajo infrautilizada de la Universidad de Oviedo, que está totalmente controlada por los piratas. La usan para guardar ficheros y crear direcciones ficticias, con las que acceden ilegalmente a ordenadores de otras universidades como la de Oxford, la de Barcelona o la Politècnica. Un "sniffer" mal instalado en esta última muestra la "foto" de uno de los atacantes: viene de Oviedo, recoge la información que han cazado los "sniffers" de la UPC, y la transfiere al servidor del bar mallorquín La Red Café, donde entra legalmente con el nombre de usuario "hispahack" (otra vez la palabra mágica) y la guarda en el directorio Jfs.
La Guardia Civil no necesita más pruebas. El 1 de abril, el teniente Anselmo del Moral, del Grupo de Delincuencia Informática de la Unidad Central Operativa, llama a la empresa gibraltareña donde trabajan, como administradores de sistemas, Jfs (Ll.M.H., 21 años) y Stk (E.C.E, 22 años) y les conmina a trasladarse a La Línea, para responder a unas preguntas. Una vez allí, son detenidos. En Asturias, el mismo día cae JR (J.R.R.M., 26 años). A la mañana siguiente, detienen a Magne (C.G.P) en Barcelona.
Se les acusa de revelación de secretos y daños. Todos niegan pertenecer a !Hispahack y los cargos que se les imputan, excepto Stk, que afirma haber hecho un ‘telnet’ a un ordenador de la NASA, entre otros, y haber tenido acceso a datos de algunas cuentas de clientes del proveedor de Girona. La declaración de JR resume el sentir general: "Esto me parece ridículo". Horas después, son puestos en libertad y se les asignan abogados de oficio. Hoy, están todos a la espera del juicio, que puede tardar meses. La pena por revelación de secretos es de hasta cuatro años de cárcel.