EL INFORME PERICIAL
DEL ES-CERT AÑADE NUEVOS DATOS AL "CASO HISPAHACK"
Mercè Molist
La aparición de un nuevo implicado,
la constatación que el grupo actuaba por todo el mundo y el descubrimiento
de abundantes herramientas "hacker", en tres ordenadores relacionados con
el "caso Hispahack", son los principales datos que aporta el informe pericial
hecho por el esCERT (Equipo de Seguridad para la Coordinación de
Emergencias en Redes Telemáticas). Coincidiendo con la aparición
del informe, uno de los imputados, Carlos Sánchez Almeida, ha sido
declarado libre de todos los cargos.
El "caso Hispahack" estalló
a primeros de abril de 1998, cuando la Guardia Civil detuvo, por revelación
de secretos y daños informáticos, a cuatro personas -apodadas
Stk, Jfs, JR y Magne-, presuntos miembros del grupo !Hispahack, y requisó
tres ordenadores, dos propiedad de Jfs y uno, del bar mallorquín
La Red Café, a los que el esCERT acaba de hacer la "autopsia".
En el servidor del cibercafé
se ha hallado, según el informe, una cuenta de FTP (protocolo de
transferencia de ficheros) llamada ‘hispahack’, con "gran cantidad de ficheros
que contienen información sobre vulnerabilidades de máquinas,
programas para explotar fallos de seguridad, ‘sniffers’ y otras utilidades
de ‘hacking’", en diferentes subdirectorios pertenecientes a miembros del
grupo. Para complicarlo aún más, aparece un tercer hombre
en escena, hasta ahora desconocido y con el código de usuario "thelobo",
que no accede a la máquina por Internet sino directamente por el
teclado y "conoce la existencia y el contenido de la cuenta ‘hispahack’".
Pero lo más interesante está
en los dos ordenadores pertenecientes a Jfs donde, además de todo
tipo de herramientas ‘hacker’ (programas para obtener prvilegios de "root"
o administrador, programas de denegación de servicio, de "sniffer"
-rastreador de información- y camuflaje, para romper llaves de paso...),
hay ficheros de contraseñas presuntamente robados en máquinas
de todo el mundo, desde Tailandia a Kiev pasando por Suecia, Canadá,
Australia, universidades de Nevada, Yale y España e, incluso, un
fichero moncloa.pwd y otro mil.pwd. En total, 9.459 cuentas, la mayoría
aún no descifradas.
Uno de los ordenadores tenía
las salidas de dos "sniffers", instalados en máquinas de las universidades
de Barcelona y Oxford, en las que se habían introducido también
puertas traseras de acceso como "root". Existen evidencias de que Jfs tenía
acceso libre a otros ordenadores de Gran Bretaña, Alemania y el
CERN (Laboratorio Europeo de Partículas Físicas), en Suiza.
Pero hay un detalle, que puede invalidar
todas las pruebas encontradas: las máquinas fueron requisadas y,
teóricamente, precintadas por la Guardia Civil el 2 de abril. En
cambio, el informe dice claramente que "el último día que
arrancó dicho ordenador -refiriéndose a uno de los de Jfs-
fue el 9 de abril a las 21:49:34". ¿Quién realizó
este acceso? ¿Introdujo acaso pruebas falsas? Un detalle más:
el esCERT pertenece a la Universitat Politècnica de Catalunya, parte
implicada como denunciante. El peritaje, por tanto, no se puede calificar
de independiente.
Son sólo algunos puntos oscuros
de un caso que ha tenido más, sobre todo referidos a la actuación
policial: ¿Por qué no se requisó también el
ordenador de Stk, igualmente acusado junto con Jfs? ¿Por qué
se dijo y se magnificó que el grupo había entrado en ordenadores
de la NASA, basándose simplemente en la declaración de Stk,
que admitió haber hecho sólo un ‘telnet’ (llegar a la puerta
del ordenador, sin entrar)? ¿Es cierto que se presionó con
amenazas a alguien de Madrid, para que revelase la identidad de Jfs? ¿Puede
considerarse un .log (un archivo de texto donde se "graban" los pasos de
quien accede a un sistema, fácilmente manipulable) prueba suficiente
para dirimir que fue Jfs quién atacó la Politécnica?
En cuanto a JR, el profesor de informática,
¿por qué se le detuvo, con la simple base de que aparece
en una foto, firma un artículo de la ‘web’ de Hispahack y es de
Asturias, si no tiene ni ordenador en casa? Aunque hubo accesos no autorizados
a la Politècnica de Catalunya, desde una máquina obsoleta
y poco vigilada de la universidad de Oviedo, está demostrado que
se entró en ella a través de la red y no por el teclado...
Por lo que respecta a la investigación
preliminar, especificada en el sumario al que ha tenido acceso Ciberp@is,
asusta ver como cuatro importantes proveedores de acceso a Internet españoles
facilitaron, sin orden judicial de por medio, absolutamente todos los datos
que tenían de las direcciones de correo que les consultó
la Guardia Civil, sin ningún respeto por la privacidad de sus clientes.
O, por ejemplo, es de risa que se presenten como pruebas del sumario las
páginas de la antigua "web" de !Hispahack, sin haber contado con
la presencia de un notario a la hora de imprimirlas.
Por otra parte, y volviendo al contenido
de los ordenadores de Jfs, según expertos consultados parece increible
que un auténtico "hacker" malicioso, con la carga de paranoia que
esto implica, tenga en sus máquinas tanto material sensible sin
encriptar o con algún mecanismo de defensa, por si accede a ellas
un desconocido. Aunque, según otros expertos, la razón sería
que "iban muy confiados". Sea como sea, hay demasiados cabos sueltos que
pueden convertir una detención espectacular en un futuro juicio
con muy poca substancia.
!HISPAHACK: LA PELÍCULA
"!Hispahack es bastante privado. Somos
un grupo cerrado, que incorpora gente esporádicamente, si tiene
un cierto nivel y un interés por hacer cosas. Publicamos un "webzine",
llamado "Mentas Inquietas", hacemos programas que ofrecemos al público,
trabajamos en proyectos y intercambiamos conocimientos", describe LeC,
miembro activo del grupo -que no desapareció tras las detenciones-,
e interesado por acabar con el sensacionalismo que ha rodeado el llamado
"caso Hispahack".
!H o !Hispahack nació en 1992,
en un canal de chat de Undernet. Su vida transcurrió plácidamente
hasta que, el 31 de octubre de 1997, alguien accedió y manipuló
la página principal en la "web" del Congreso de Diputados español,
dejando este mensaje: "Cuantos diputados y cuantas comisiones harán
falta para descubrir que poner un ordenador en internet no es sólo
enchufarlo [Manda guebos!!... 1-3, seguimos avanzando!] (!H)".
A partir de aquí, según
LeC, empezó la "venganza": "La Guardia Civil comenzó a moverse
entonces... ¿qué coincidencia, no? Y empezaron a encontrar
cosas relacionadas con !Hispahack". Según se desprende del sumario,
dos días después, el 2 de noviembre, alguien, desde una dirección
de correo anónima, envia a las fuerzas de seguridad una dirección
en la "web", donde había una fotografía con algunos de los
miembros del grupo.
Posteriormente, la Guardia Civil descubre
la página-nodriza de !Hispahack, situada en el servidor norteamericano
Angelfire, e investiga los artículos, nombres y direcciones de correo
que allí aparecían: Jafasa, J-R, Zebal, Shooting, LeC y spEEdfire.
Justo al mismo tiempo, el 20 de enero, un proveedor de acceso a Internet,
sito en Girona, presenta una denuncia contra Magne y Stk, este último
presuntamente miembro de !Hispahack, ya que así se desprendía
del dominio con el que se conectaba a la red. Según el proveedor,
habían entrado ilegalmente en una de sus máquinas y habían
robado las claves de acceso y nombres de usuario de 2.500 clientes, entre
marzo y septiembre de 1997.
Meses después, el 25 de marzo,
la Universitat Politècnica de Catalunya (UPC) denuncia haber sufrido
un ataque, el 11 de septiembre de 1997, con la obtención de privilegios
de administrador en 16 ordenadores de un departamento, a 5 de los cuales
les han instalado un "sniffer". La acción es realmente temeraria,
ya que en la UPC reside el Equipo de Seguridad para la Coordinación
de Emergencias en Redes Telemáticas (esCERT), la auténtica
policía del ciberespacio.
El esCERT coordina ahora la investigación.
Se descubre que los atacantes entraron desde una estación de trabajo
infrautilizada de la Universidad de Oviedo, que está totalmente
controlada por los piratas. La usan para guardar ficheros y crear direcciones
ficticias, con las que acceden ilegalmente a ordenadores de otras universidades
como la de Oxford, la de Barcelona o la Politècnica. Un "sniffer"
mal instalado en esta última muestra la "foto" de uno de los atacantes:
viene de Oviedo, recoge la información que han cazado los "sniffers"
de la UPC, y la transfiere al servidor del bar mallorquín La Red
Café, donde entra legalmente con el nombre de usuario "hispahack"
(otra vez la palabra mágica) y la guarda en el directorio Jfs.
La Guardia Civil no necesita más
pruebas. El 1 de abril, el teniente Anselmo del Moral, del Grupo de Delincuencia
Informática de la Unidad Central Operativa, llama a la empresa gibraltareña
donde trabajan, como administradores de sistemas, Jfs (Ll.M.H., 21 años)
y Stk (E.C.E, 22 años) y les conmina a trasladarse a La Línea,
para responder a unas preguntas. Una vez allí, son detenidos. En
Asturias, el mismo día cae JR (J.R.R.M., 26 años). A la mañana
siguiente, detienen a Magne (C.G.P) en Barcelona.
Se les acusa de revelación
de secretos y daños. Todos niegan pertenecer a !Hispahack y los
cargos que se les imputan, excepto Stk, que afirma haber hecho un ‘telnet’
a un ordenador de la NASA, entre otros, y haber tenido acceso a datos de
algunas cuentas de clientes del proveedor de Girona. La declaración
de JR resume el sentir general: "Esto me parece ridículo". Horas
después, son puestos en libertad y se les asignan abogados de oficio.
Hoy, están todos a la espera del juicio, que puede tardar meses.
La pena por revelación de secretos es de hasta cuatro años
de cárcel.