Hackstory.es Paranoia.com

From Hack Story

Jump to: navigation, search

"Este mundo es nuestro... el mundo de los electrones y los interruptores, la belleza del baudio. Utilizamos un servicio ya existente, sin pagar por eso que podría haber sido más barato si no fuese por esos especuladores. Y nos llamáis delincuentes. Exploramos... y nos llamáis delincuentes. Buscamos ampliar nuestros conocimientos... y nos llamáis delincuentes. No diferenciamos el color de la piel, ni la nacionalidad, ni la religión... y vosotros nos llamáis delincuentes. Construís bombas atómicas, hacéis la guerra, asesináis, estafáis al país y nos mentís tratando de hacernos creer que sois buenos, y aún nos tratáis de delincuentes."

"Sí, soy un delincuente. Mi delito es la curiosidad. Mi delito es juzgar a la gente por lo que dice y por lo que piensa, no por lo que parece. Mi delito es ser más inteligente que vosotros, algo que nunca me perdonaréis. Soy un hacker, y éste es mi manifiesto. Podéis eliminar a algunos de nosotros, pero no a todos... después de todo, somos todos iguales."

The Mentor. Manifiesto del hacker (08-01-1986)


Estamos en 1995. Aparece en los medios de comunicación españoles la primera noticia -que se sepa- sobre la inseguridad informática del estado. Sorpresivamente, la noticia deja en buen lugar a los hackers. Llámalo la excepción que confirma la regla o la suerte del novato, nunca más volverá a darse tan extraña conjunción galáctica.

El 13 de octubre de 1995, prensa, radio y televisión destacaban una curiosa historia: tres estudiantes de Telecomunicaciones habían descubierto un agujero en el servidor web de La Moncloa y ellos mismos lo repararon. Esos angelitos eran Álvaro Martínez Echevarría, de 23 años, quien había descubierto el agujero, y sus compañeros Roberto Lumbreras y Juan Céspedes. Los chavales avisaron a la Moncloa del fallo y se ofrecieron a repararlo. Sorpresivamente -otra vez- el responsable de informática de la Moncloa, Juan Manuel García Varilla, no se enfadó con ellos ni les denunció por andar hurgando en su red. Todo lo contrario: aceptó su propuesta.

No queda claro, leyendo la prensa de la época, si fue Moncloa o los muchachos quienes fueron con el cuento a los medios. En todo caso, la noticia corrió como la pólvora. Los medios, que por aquel entonces sabían más bien poco de redes o informática, no se rompieron mucho la cabeza ante la versión que se les dio, ni se preguntaron qué estaban haciendo aquellos chicos cuando descubrieron el agujero. Para "El País", por ejemplo, estaban realizando algo tan ¿normal? para un estudiante como un "barrido rutinario de Internet":

El pasado agosto, mientras llevaba a cabo un barrido rutinario de Internet, descubrió que la ventana Moncloa tenía un serio fallo de seguridad. Esta ventana lanza a Internet información general sobre las actividades de Presidencia del Gobierno.[1]

Pero la versión del entonces responsable informático de La Moncloa, Juan García Varilla, es otra, que transcribimos literalmente:

Al menos en esa ocasión, no hubo un "agujero en la Moncloa", sino un PC corriendo, con todos sus puertos abiertos, una versión beta de un sistema operativo Linux,  al que Álvaro, Juan y Roberto pudieron acceder sin ningún esfuerzo, simplemente mirando lo que ofrecían de manera remota, tras detectarlo en el transcurso de unas prácticas de la ETSI-UPM. Ese PC nunca estuvo vinculado a los sistemas internos de Moncloa, sino conectado mediante un módem a los Servicios Telemáticos de Servicom: En esa época, Portavoz ni siquiera tenía aún conexión a Internet, así que esa vía no podía ofrecer ningún agujero. Lo que los tres estudiantes hicieron podría catalogarse más bien como de un "hacking ético". De una amable recomendación en época estival para actualizar el Kernel Beta a una versión más moderna (la 1.0, creo recordar). De hecho les invité de modo informal a comer y se ofrecieron a instalar su propia compilación del Kernel Linux en la máquina.

Hasta aquí la historia real.

Meses después:

Iñigo Morey llegó como periodista freelance enviado por una agencia de comunicación a la "startup" Lander WCS, que acababa de contratar a Álvaro y Roberto. Lo que debía redactar no era una noticia, sino un artefacto de marketing para ayudar al Director de Marketing, Jaime Martínez, en el lanzamiento. De hecho, la idea de presentar a los estudiantes como hackers que habían tenído éxito frente a Moncloa y que tras eso habían sido captados por Lander fue el argumento para justificar la participación de la agencia de comunicación en forma de los servicios de Íñigo. Sin embargo, Lander no sacó nigún rédito apreciable de esto. Tan sólo quedó para los anales aquello de que, en palabras de El País (Morey) , alguien se había colado en La Moncloa.

Y esa es la historia más o menos completa.[2]

Un año después, en septiembre de 1996, el diario "ABC" publica otra bomba informativa. Cabe decir que la seguridad informática y los hackers eran algo tan raro en los 90, para la gente media y para los medios, como que un hombre muerda a un perro, y así lo trataban, como una curiosidad que llamaba la atención y por eso merecía amplia cobertura. Por eso es destacable la noticia de "ABC": porque parecía tomárselo en serio.

Este veterano periódico publica en 1996 un amplio reportaje que ofrece a portada y en dos entregas. Lo titula "ABC demuestra la inseguridad informática de los principales organismos del estado". El texto explica que dos hackers anónimos han mostrado a los redactores del diario cómo de fácil es entrar en ordenadores del Centro Superior de Investigaciones Científicas (CSIC), la Universidad Nacional de Educación a Distancia (UNED), el Boletín Oficial del Estado (BOE) y La Moncloa.

Los hackers han usado un viejo truco: un programa del sistema operativo Unix, llamado PHF[3], tenía un agujero que muchos administradores no habían parcheado. Si alguien aprovechaba este fallo, podía descargar cualquier fichero del ordenador atacado, incluída la lista de usuarios y contraseñas. Sólo con que hubiese una contraseña débil -y había muchas, incluso usuarios sin contraseña- el hacker estaba dentro.

Según "ABC", después de la demostración las contraseñas se pusieron a disposición de un notario y los hackers no hicieron nada malo en los sitios atacados, excepto demostrar que podían atacarlos. Pero, según el diario, se podían haber realizado un montón de inquietantes hazañas: robar información, sacarse un título en la UNED, cambiar leyes en el BOE, cambiar la agenda del presidente del gobierno...

El reportaje acaba con una frase lapidaria:

Hoy por hoy, la seguridad informática en España es poco más que una quimera.[4]

Tienen razón. A mediados de los 90, en la mayoría de ordenadores conectados a las redes no hay barreras que paren los pies a los curiosos. Ni cortafuegos, ni contraseñas fuertes. Hay servidores en las universidades que llevan años en marcha sin que nadie los administre. Las redes han crecido en un ambiente de confianza y de buena fe. No es que los administradores de sistemas sean negligentes: es que no forma parte de su cultura securizar la red.

De hecho, instalar medidas de seguridad está mal visto por la élite de las universidades, la primera generación, que las ve como un constreñimiento, un engorro y un freno a la libertad de la información. No tienen en cuenta que crecen exponencialmente las hordas de jóvenes que van a robar y mentir por tener acceso vitalicio y gratuito a Internet. A toda Internet. Incluídos ordenadores "interesantes" como los de grandes empresas, universidades y militares.

Y así, nunca hacer hacking fue tan fácil, con todo abierto. Internet se convierte en una ciudad sin ley donde campan a sus anchas personajes de todas las calañas que entran y salen de donde les da la gana. Por no hablar de los contenidos que ofrecen algunos de los primeros sitios web: informaciones inmorales, ilegales y políticamente incorrectas. Desde toneladas de páginas pornográficas hasta warez, todo un mundo bizarro, como puede verse en el veterano sitio Paranoia.com, en pie desde junio de 1994 en la World Wide Web.

Paranoia.com afirma alojar a amigos y conocidos "a cambio de la voluntad", en su interior hay webs de pedofilia, drogas, prostitución, eutanasia, cracking de televisión, teorias conspirativas y control mental. Lo fuerte es que Paranoia.com no es la excepción sino una más de las muchas páginas y foros de este estilo, fácilmente accesibles a cualquiera que entre en Internet.

Paranoia.png

Una gran sensación de impunidad flota en el ambiente. Para los que cuelgan contenidos políticamente incorrectos y para los que entran y salen de ordenadores ajenos. Este es un nuevo mundo y hacemos lo que nos da la gana, parece ser el lema. Las fuerzas de la ley no tienen conocimientos de redes ni informática. En aquellos primeros años, las investigaciones las realizan los propios atacados o los llamados Computer Emergency Response Team (CERT), "Equipos de Respuesta a emergencias informáticas". El primero en España es el esCERT, creado en la Universitat Politècnica de Catalunya en 1995, bajo el liderazgo de Manuel Medina. Le sigue, casi al mismo tiempo, el IRIS-CERT, cuyo territorio son las redes de las universidades españolas y lo dirige Rubén Martínez.

Los CERT son la respuesta de la comunidad de Internet a la necesidad de más seguridad informática. Empiezan ubicándose en universidades, siendo el primero el CERT de Carnegie Mellon. Su misión es ser un punto central de ayuda y coordinación ante ataques informáticos. La comunidad ha descubierto que necesita estos organismos a raíz de un incidente que pasará a la historia de Internet: el gusano de Morris:

El 2 de noviembre de 1988, un programa dañino empezó a comerse ordenadores del sistema Arpanet. Saltó de uno a otro, de Arpanet a Milnet, a la NASA, al Massachusetts Institute of Technology, a las universidades, aprovechando varios errores en programas UNIX. Miles de máquinas colapsadas y el pánico general fueron el resultado de este gusano (virus que se "cuela" sin ayuda, con la única función de utilizar espacio del disco hasta estropear el sistema). Lo llamaron "gusano de Morris" por su creador, Robert Morris Jr, hijo de un científico jefe del National Computer Security Center.[5]

El Mundo Real elaboró también su respuesta a la inseguridad en la red: en 1995 se crea el Grupo de Delitos Informáticos del Cuerpo Nacional de Policía, dirigido por el veterano inspector jefe Carlos García[6]. Un año después se ponía en marcha el Grupo de Delincuencia Informática de la Guardia Civil, bajo el mando del teniente Anselmo del Moral, quien por sus declaraciones provocadoras a la prensa[7] y múltiples detenciones que realizó, con discutibles modus operandi que no siempre aceptaron los jueces, fue el policía más odiado de la red en los 90.

El primer detenido por hacking en España es Mave, del grupo Konspiradores Hacker Klub, en 1996 y quien lo detiene es Carlos García, de la Policía Nacional. A esta la seguirán otras operaciones de ambos cuerpos que obligarán a los hackers ibéricos a esconderse y subir el nivel de paranoia. Por suerte para ellos, hasta el 2010 el Código Penal no considerará delito el hacking. Muchos se salvarán por eso. De lo que no se salvarán es de ser tratados como terroristas cuando se les detiene y criminalizados tanto por las fuerzas de la ley como por los medios de comunicación.

Un caso ilustra muy bien esta criminalización: a D.O.C., un joven de 22 años, de Águilas (Murcia), la Guardia Civil le detuvo en 1999 por presuntamente haber intentado robar el fichero de contraseñas del servidor web del Ministerio del Interior. El trato que recibió fue desproporcionado: estuvo encerrado seis días, sin fianza, en el depósito del juzgado de Lorca mientras el diario "ABC" lo llamaba terrorista. Su padre contratacó hablando con "El País":

A las 12 del mediodía, nueve agentes de la Guardia Civil, algunos desplazados desde Madrid, irrumpían en su casa "como si fuera una operación comando, tratándolo como a un terrorista", se queja su padre, Ramón Ortiz, respetable empresario de la pequeña ciudad, de 20.000 habitantes.

"Nadie le va a quitar el trauma por las medidas irracionales y desproporcionadas que se han tomado contra él, retenido 5 días ya en una habitación de 5 metros cuadrados, sin ventana y con un agujero por váter, sólo porque su número de teléfono empieza por 9684 y en su habitación encontraron un libro llamado "Hackers"".[8]

"Nos han hundido psicológica y socialmente. El chico tuvo que irse del pueblo para trabajar. Y, al final, resulta que no había pruebas, buscaban un cabeza de turco".[9]

Tres años después, un juez sobreseyó el caso.

Contents

Konspiradores Hacker Klub

Konspiradores Hacker Klub (KHK) fue uno de los primeros grupos de hackers españoles, activo al menos en 1994 y 1995, dedicado al phreaking, ingeniería social y hacking_es, como la mayoría de grupos de aquel entonces, que tocaban un poco de todo. KHK remitía al nombre de la sala donde se reunían, en el restaurante Wendy's de la Puerta del Sol de Madrid: "El salón de los conspiradores". Se habían conocido en la BBS del Demonio, en los encuentros que montaban los usuarios de la misma. Eran 5.

Nos juntamos un pequeño subgrupo apasionado de la informática y las comunicaciones, y un ansia infinita por aprender. Más que un grupo hacker eramos un grupo de amigos, que en realidad nos movíamos bastante individualmente pero compartíamos conocimiento enseñándonos unos a otros. No eramos como los grupos más modernos... no había afan de protagonismo, ni dejar nuestra marca por todas partes, ni hacer daño en ningún sitio.... solo aprender y aprender...[10]

El grupo tiene el triste honor de contar entre sus filas con el primer detenido por hacking en España: Mave. El 31 de en enero de 1996, la Brigada de Delitos Informáticos de la Policia Nacional irrumpió en la casa del joven, que entonces tenía 19 años. La policía llevaba un tiempo monitorizando el chat donde se reunía KHK, en EFnet, y por las conversaciones habían descubierto en qué ciudad residían. Un día, Mave cometió un grave error: entró en el IRC con una cuenta que contenía su nombre real.

En el sumario estaba señado en circulo rojo y en grande "BINGO!!!!!" donde en el log del irc decía que tenía mi mismo apellido... Empezaron a buscar por el padrón municipal a todos los de mi apellido... y a pincharles el teléfono unos días.. como no había modem, pues al siguiente... hasta que encontraron una línea con módem todas las noches.[11]

Los cargos contra Mave fueron "interceptación de telecomunicaciones" y "falsedad de identidad". Cuando le dejaron libre, el joven mandó de inmediato un mensaje a KHK, donde avisaba del peligro y explicaba que le acusaban por pasearse como Pedro por su casa por las redes de la Universidad Carlos III:

Me han hecho toda clase de preguntas. Las dos principales vertientes por las que me acusan son la de usar tarjetas de credito en compuserve, usando el buzon de otra persona para recibir las cartas. De esto ultimo, el usar un buzon de otra persona, viene la acusacion de falsa identidad. La otra vertiente es la de haber entrado sin permiso en los ordenadores de la Carlos III, en concreto citaron 'Elrond', 'Ordago', 'Lareal', y 'a01-unix'. De esta vertiente me acusan del delito de 'Interceptación de las comunicaciones'. En este delito han metido la entrada a maquinas de la carlos III, el que yo supuestamente he 'leido' el correo privado de algun usuario, asi como la colocacion de sniffers, mediante el cual podia conseguir 'logins y palabras de paso de otros usuarios' segun sus palabras.[12]

Era el primer caso de hacking con el que se enfrentaban las fuerzas de la ley españolas, que fueron especialmente meticulosas pues el sumario de la investigación ocupaba tres tomos, unas 2.000 páginas. Pero no fue la policía quien realizó el grueso de las pesquisas sino expertos del sitio atacado, como solía pasar aquellos primeros años. Según Mave, el 90% de la investigación la realizaron técnicos de la Universidad Carlos III, quienes descubrieron las intrusiones del grupo y el chat donde se reunía, que monitorizaron. Las pruebas que se presentaron al juez consistieron básicamente en los logs de IRC y -eso sí fue cosa de la policía- grabaciones de las conversaciones telefónicas de Mave.

El juicio nunca se realizó: "Mave se comió el marrón y no dio ningún nombre. Consiguió no ir a la cárcel por los pelos pero tuvo que pagar una multa importante"[13], explica Lester y lo confirma Mave:

Fueron casi dos años de espera para el juicio. Al final, lo único que tenían en firme eran algunas confesiones del interrogatorio inicial y accesos a Compuserve de la última época. Hubo un pre-acuerdo a la entrada del juicio, aceptando la pena mínima (sin prisión) y una buena indemnización para la universidad. Me consta que al policía jefe (ya jubilado por lo que sé) no le sentó bien lo del acuerdo...;-)[14]

Mensaje de Mave

Por su valor documental, reproducimos algunos fragmentos del mensaje que Mave mandó a sus amigos de KHK justo después de la detención:

Hola, soy Mave

Lo que os voy a contar ahora es DE VITAL IMPORTANCIA. VUESTRO FUTURO ESTA EN ****PELIGRO**** MUCHO ****PELIGRO****

Esta mañana del dia 31 de Enero de 1996, a las 9 de la mañana se ha presentado en mi casa la policia judicial, concretamente de la brigada de delitos informaticos, y me han ** DETENIDO **
(...)

Bueno, he visto cantidad de pruebas ABRUMADORAS, *MILES* Y *MILES* DE MENSAJES DE IRC hablando con toda clase de gente de toda clase de temas, que se remontan por lo que he podido recordar sobre alguna de ellas a mas de 1 año y medio hacia atras en el tiempo, tal vez 2 años.

Tambien tenian TODAS mis converaciones de voz grabadas desde hace alrededor de 1 año quiza algo menos. Conversaciones con toda clase de gente, con otros hackers (vosotros sabreis con todos los que he hablado por voz en el ultimo año), con gente del mundo warez, con amigos, con todo el mundo que he hablado. (...)

Me han preguntado sobre si conocia las identidades de algunas de las personas que salen en los log (principalmente de irc). Simplemente he contestado que solo conozco los alias, que no conozco los nombre reales. (...)

Al principio de la declaracion me han preguntado que donde encontre los telefonos de acceso a la carlos III, y donde consegui los logins y passwords de entrada a alguna maquina. Mi respuesta ha sido que los encontre en la 'red' segun figura en la declaracion, aunque yo dije que los encontre por ahi, que no recuerdo exactamente donde.
(...)

Tambien me preguntaron literalmente 'šQue es lo que hay en Finlandia?'. Aqui ya no se que pensar, si es que son subnormales o es que no tienen ni puta idea del tema. Jamas he tocado ninguna maquina de finlandia, ni he hablado con absolutamente nadie de hackear en Finlandia. Como todo el mundo sabe, en finlandia lo unico que hay es el remailer anonimo de anon.penet.fi.
(...)

Por lo que he conseguido averiguar estan investigando a otras personas, no me han dicho ni nombres ni alias... creo imaginar quienes pueden ser, y estoy seguro que si estais leyendo esto sabreis quienes soys...

Un consejo, *DESTRUID* *ABSOLUTAMENTE* *TODO* tanto en forma datos como de papel que podais tener que os pueda inculpar en algo... Si teneis algun programa comercial, *DESTRUIDLO* (Sobreescribirlo con 0 o similar, no lo borreis, para que no se pueda recuperar)... Y no useis en *ABSOLUTO* en telefono de voz... usad cabinas, PUBLICAS (no las de dentro de las universidades y similares) llamando a numeros a los que tengais ABSOLUTA certeza de que no estan pinchados...
(...)

Durante cierto tiempo, hace bastante tiempo, estuve sospechando (y ahora me doy cuenta que tenia toda la razon y no era ninguna paranoia) que tenia la linea pinchada. Los sintomas que se detectaban, el mas gordo fue, una llamada de cierta persona que no habia forma de cortarla, colgase yo, o colgase la persona que originaba la llamada, la linea seguia abierta. Alcabo de una media hora o asi, la linea recupero su estado 'normal'. Otro sintoma, fue la existencia de FALSOS RINGS, es decir el telefono sonaba, descolgabas y te daba linea. Es igual que los RING BACKS. Otro sintoma bastante delatador, fue la aparicion de RUIDO en las llamadas por modem a los que nunca antes habia tenido NINGUN problema de ruido.

Todo esto estuvo ocurriendo durante un periodo aproximado de 1 mes. Despues desaparecieron todas estas extrañezas, y el telefono se comportaba de lo mas normal. Muchisimas veces, intente hacerle PERRERIAS a la linea para detectar posibiles pinchazos, es decir microcuelgues, cuelges muy rapidos de la linea, cortar una llamada de golpe y ver si volvia a dar linea o seguia abierta la comunicacion (...). En ningun momento de estos test pude detectar ninguna anomalia. Sin embargo, por las transcripciones de conversaciones de voz que he visto, estas se realizaron en la epoca que hacia esas comprobaciones.

Sobre la linea contar una cosa que si que me parecio MUY CURIOSA, y que ahora estoy seguro de que es la prueba definitiva para detectar la linea pinchada, al menos con el metodo que usaron conmigo. (...) Siempre habia leido que el voltaje de la linea es de 48 voltios cuando esta colgado, y de 9-12 voltios cuando esta descolgado. Pues bien, mi linea al descolgarla tenia 27 voltios, en vez de los entre 9 y 12 que deberia esperar. *COMPROBAD* *AHORA* *MISMO* *EL* *VOLTAJE* *DE* *VUESTRA* *LINEA*.

Despues de unas 3 o 4 horas de declaracion, me han dejado en libertad. (...)

Ah, otra cosa. AVISO A TODA LA GENTE DEL WAREZ. Saben quienes son, que hacen, como lo hacen, etc. Todos aquellos que venden warez, QUE TENGAN MUCHISIMO CUIDADO. Yo de ellos destruiria todo el WAREZ (*DESTRUIR*), por lo que pueda pasar...

Cualquier comunicacion que hagais sobre este tema, hacedla de forma electronica, no useis ningun canal de voz, y HACEDLO TODO **ENCRIPTADO** con PGP, usando versiones *************** ANTERIORES ************* a la 2.6ui. En principio la 2.6ui es segura. Lo de la version, es por la rumoreada backdoor de las versiones > 2.6 que obligo a instalar a zimmerman el fbi/cia para poder desencriptar facilmente los mensajes. Despues de cierto comentario que ha hecho uno de los policias, estoy casi ABSOLUTAMENTE seguro de que esa backdoor existe y es TOTALMENTE CIERTA. (...)

Muchisimas Gracias, y tened MUCHO cuidado.
Mave.[15]

Universitat Rovira i Virgili

La segunda detención por hacking en el estado español la llevó a cabo el recién creado Grupo de Delitos Informáticos de la Guardia Civil y la provocó también hacer el indio en una universidad: la Universitat Rovira i Virgili (URV) de Tarragona. A finales de 1996 la URV puso una denuncia que llevó a la detención, en marzo de 1997, de J.H.R. y J.D.M., de 20 y 19 años respectivamente. Ambos estudiaban primer curso en la Escuela Técnica Superior de Ingeniería de la URV.

Se les acusó de intrusión en redes informáticas para cometer delitos contra la propiedad intelectual y revelación de secretos. El rosario de sus presuntas andadas durante aquel curso 1996-97 comprendía ataques a ordenadores de las universidades de Valencia, Málaga y Córdoba, el Centre de Supercomputació de Catalunya, el congreso INETCAT'96, una empresa de Canarias, la red ciudadana de Tarragona TINET y el Registro Mercantil de Tarragona, además de vender CDs copiados ilegalmente.

Según la denuncia de la URV, habrían robado las contraseñas de más de 2.000 alumnos y entre 100 y 200 profesores y entrado en las cuentas de dos profesores[16]. En su lista de gamberradas destacaban borrar la información que de ellos tenía la biblioteca referente a libros en préstamo y suplantar la identidad de un ejecutivo para conseguir información de una empresa de seguridad informática. [17]

El fiscal pidió para J.H.R. tres años de cárcel y 378.000 pesetas. Para J.D.M., dos años y siete meses de prisión, más multa de 306.000 pesetas.

El Grupo de Delitos Informáticos de la Guardia Civil se estrenaba con esta investigación, que duró tres meses y a la que llamó Operación Toco[18], porque Toco era uno de los apodos que usaba J.H.R.[19], conocido también como Tranx en el IRC.

El sumario

El sumario de la investigación presentaba a J.H.R. como principal responsable de los delitos pero, según explicó a la prensa, su compañero lo traicionó para que pareciese el único culpable:

Según H., su compañero le acusó de ser el cabecilla y único responsable de las intrusiones. En un día pasaron de ser íntimos amigos a amables enemigos.[20]

En cuanto a los delitos de hacking que presuntamente habían cometido los acusados, el sumario explicaba que J.H.R. usó un código de usuario de J.D.M. para entrar en la red de la URV y poner un programa llamado sniffer en un ordenador de la universidad, que grabó toda la información que se introducía en él. Así fue como consiguió la contraseña del administrador que controlaba todo el sistema informático de la universidad.

Desde la cuenta de administrador fue fácil obtener el fichero ALUMNE.TXT, con las contraseñas de más de 2.000 alumnos, además de los códigos de usuario y contraseñas de entre 100 y 200 profesores. Los jóvenes aprovecharon esta información para chiquilladas como espiar el contenido de exámenes, pero también para entrar en ordenadores de las universidades de Valencia, Málaga y Córdoba, ya que muchos usaban la misma contraseña en diferentes cuentas. Desde allí saltaron a sitios más "interesantes", como el Centre de Supercomputació de Catalunya o el Registro de la Propiedad de Tarragona, donde según el sumario entraron en diversas ocasiones para coger informaciones sin pagar.

Fue especialmente sonada su visita física al congreso INETCAT'96, celebrado entre el 27 de noviembre y el 1 de diciembre de 1996, que organizaba la Internet Society catalana y de donde fueron expulsados[21]. Según el sumario, habrían atacado un ordenador del congreso:

J.H.R. en compañía de otras personas se hallaba en el stand de la empresa I3D, (...) a través de un ordenador de Pangea accedió a un ordenador de la Rovira i Virgili y desde allí lanzaron un ataque al ordenador del congreso ROSETTA INETCAT PANGEA ORG. Introduciendo un elevado número de conexiones para que el ordenador del Congreso se bloqueara.[22]

Pero en los registros que la Guardia Civil hizo a los domicilios de los jóvenes no encontró ninguna prueba.

El juicio

El juicio contra J.H.R. y J.D.M. se celebró en mayo de 2005, en el Juzgado de lo Penal número 4 de Tarragona, rodeado de gran cantidad de cámaras y periodistas. Habían pasado nueve años desde las detenciones y el principal denunciante, la Universitat Rovira i Virgili, se había echado atrás. Fuentes de la universidad afirmaron a la prensa, en 1999, que no esperaban que el caso llegase a juicio cuando pusieron la denuncia:

La primera intención de la universidad no iba más allá de que los jóvenes recibieran un pequeño rapapolvo académico.[23]

La única parte acusadora en el juicio fue el ministerio fiscal. Un representante de la universidad, Manuel Sanromà, que habló como parte afectada, criticó la actuación de las fuerzas de la ley:

Aseguró ante la juez que los hechos habían sido sólo "una gamberrada": presuntamente, pintar cuernos a las fotografías de profesores, espiar exámenenes, copiar contraseñas o buscar información sobre libros en la biblioteca de la Universidad de Valencia. Sanromá calificó la actuación judicial de "desproporcionada".[24]

Sanromà no fue el único que criticó al Grupo de Delitos Informáticos de la Guardia Civil, que no asistió al juicio. Uno de los acusados, J.D.M., denunció que le habían prometido trabajo a cambio de su colaboración:

J.D.M. aseguró haber hecho sus primeras declaraciones presionado por la Unidad de Delitos Informáticos de la Guardia Civil: "Nos habían vigilado, pinchado el teléfono y venían expresamente de Madrid. ¡Imagínese! Sugirieron que si colaboraba podría trabajar con ellos y que ya me llamarían". Jaime Duque, uno de los abogados defensores, se quejó asimismo de esta unidad de la Guardia Civil que "bajó desde Madrid para montar una bomba de humo. Se hicieron la foto de rigor con ordenadores y disquetes en los que no había nada y ninguno de ellos está hoy aquí para explicar cómo fue la investigación previa".[25]

La inexperiencia de los agentes quedó patente en la debilidad de las pruebas y las imprecisiones del sumario, que fueron criticadas por todas las partes, también los peritos de la acusación. Destacó además en este juicio la ignorancia del juez y el fiscal en todo lo relativo a seguridad informática. Finalmente y ante la inconsistencia de las pruebas, el juez absolvió a los jóvenes.

Descontrol en las universidades

Cuando J.H.R. y J.D.M. fueron detenidos, en 1997, las universidades eran el gran campo de juego de la comunidad hacker, especialmente los más jóvenes, alumnos de estas instituciones. El sumario del caso destacaba que, aunque J.H.R. era alumno de la URV, no asistía nunca a clase[26], pero lo que se presentaba como una anomalía era en realidad algo habitual: en vez de ir a clase, campaban a sus anchas por las aulas de ordenadores y las redes de las universidades, entrando y saliendo de todas partes, usando las máquinas asaltadas para montar chats, almacenar warez o saltar a otros sitios. Muchos jamás acabaron la carrera, pero se licenciaron de forma autodidacta en una asignatura entonces inexistente: seguridad informática.

Las universidades, con poco personal, poco formado e interesado en seguridad, muchos ordenadores y muchos usuarios eran el gran agujero de Internet. No había incidente de hacking en los 90, protagonizado por alumnos o por gente más avezada, que no implicase el asalto previo a algún sistema universitario. De allí se saltaba a otro y a otro, hasta llegar al objetivo, complicando así el rastreo policial.

El Equipo de Respuesta a Incidentes de RedIRIS (IRIS-CERT) tenía la ingrata misión de velar por la seguridad de las redes universitarias y de investigación españolas. En 1999 genera sus primeras estadísticas públicas, donde afirma que ha atendido 240 incidentes durante aquel año. De ellos, 38 son accesos ilegales o ataques de denegación de servicio (bombardeos), y hay también 30 intentos de entrada en sistemas.

Hay que decir que estas estadísticas reflejaban sólo los ataques denunciados al IRIS-CERT. En realidad había muchísimos que ni siquiera se detectaban. Y la mitad de los que se denunciaron no se solucionaron jamás.[27]

Año a año, los incidentes registrados por IRIS-CERT se iban doblando: 490 en el 2000[28]. 1.065 en 2001. 1.495 en 2002....[29]

Si los atacantes eran alumnos, la pillería más común era robar contraseñas de profesores, porque ellos tenían acceso completo a Internet, mientras los alumnos sólo tenían correo electrónico. Miquel Barceló recuerda como sus alumnos de la Universitat Politècnica de Catalunya (UPC) le robaron la contraseña de acceso a servicios privilegiados mediante la manida técnica de espiar a alguien por detrás mientra está tecleando.

En este contexto de cada vez más descontrol y desvergüenza puede entenderse que algunas universidades concluyeran que avisar a la policía sería un buen escarmiento. Es en esta clave como debe leerse la actuación contra J.H.R. y J.D.M. en la Rovira i Virgili o, por parte de la Politècnica de Catalunya, la denuncia que llevó al caso !Hispahack.

El Caso Hispahack

El llamado Caso Hispahack se refiere a la investigación, detención y posterior juicio contra este grupo de hackers. !H no fue el primero ni el segundo en ser pillado por las fuerzas de la ley, pero sí el que tuvo más publicidad.

La investigación, llevada a cabo por el Grupo de Delitos Informáticos de la Guardia Civil, empezó en 1997 y culminó en abril de 1998, con cuatro personas detenidas, acusadas de entrar en sistemas de universidades, proveedores de acceso, el Congreso de los Diputados, la NASA y una larga ristra. Finalmente, la presión judicial se concretó en Jfs. El fiscal pedía para él dos años de prisión por, presuntamente, entrar en una máquina de la Universitat Politècnica de Catalunya (UPC) y transferir datos de allí a un ordenador de Palma de Mallorca. Nombre de usuario: !HISPAHACK. Directorio: Jfs. Parecía tenerlo todo en contra pero, al final, en mayo de 1999, el juez le absolvió por inconsistencia de las pruebas.

El Caso Hispahack es el más importante de la historia del hacking en España por diversas razones. Para empezar, fue la primera redada dirigida específicamente contra un grupo hacker, acusado de delitos de hacking. Hasta entonces, las detenciones se habían centrado en individuos concretos y aunque formasen parte de un grupo, no se había dado importancia a este hecho. Ahora en cambio, la Guardia Civil en su nota de prensa daba más relevancia al grupo que a los detenidos, calificando a !Hispahack de banda organizada:

Del Moral cuenta que los intrusos han mostrado en todo momento una actitud "fría e inteligente". Según sus datos, Hispahack es la red de delincuencia informática más importante desbaratada hasta ahora en España. El Grupo de la Guardia Civil trabaja en colaboración con el FBI y con la policía británica para aclarar las incursiones realizadas en ordenadores de sus países.[30]

El Caso Hispahack es también la muestra de cómo un grupo de hackers respetable y respetado puede acabar pasando a la historia como un grupo de circo y cómo su pericia puede verse eclipsada por noticias peliculeras de asaltos a la NASA o el Pentágono. Sensacionalismo surgido de una Guardia Civil ávida de salir en los medios, y de unos medios totalmente ignorantes, ávidos de temas sobre malvados hackers.

A nivel legal, en cambio, la aportación del Caso Hispahack es muy seria y valiosa, pues dio lugar a la primera sentencia en el estado español sobre acceso ilegal a un sistema informático. Aunque J.H.R. y J.D.M. habían sido detenidos antes, en marzo de 1997, también por la Guardia Civil, no se les juzgó hasta 2005. Así que el Caso Hispahack fue el primer caso de hacking que llegaba a un tribunal y fue seguido muy de cerca por toda la abogacía interesada en estos temas. Aunque dio lugar a una sentencia discreta, no defraudó, sentando diversos precedentes que hasta entonces levantaban dudas, como la aceptación de los logs generados por sistemas informáticos como prueba en un juicio.

Qué fue lo que pasó

Presuntamente, había algunos chavales en !Hispahack que estaban disfrutando de lo lindo haciendo el indio por las redes informáticas, junto a amigos como el propio J.H.R.

Para hacerse una idea de lo bien que lo pasaban es interesante leer el informe que hizo el perito del esCERT, sobre lo que encontró en los dos ordenadores de Jfs requisados por la Guardia Civil:

Hay ficheros de contraseñas presuntamente robados en máquinas de todo el mundo, desde Tailandia a Kiev pasando por Suecia, Canadá, Australia, universidades de Nevada, Yale y España e, incluso, un fichero moncloa.pwd y otro mil.pwd. En total, 9.459 cuentas, la mayoría aún no descifradas. Uno de los ordenadores tenía las salidas de dos "sniffers", instalados en máquinas de las universidades de Barcelona y Oxford, en las que se habían introducido también puertas traseras de acceso como "root" (administrador). Existen evidencias de que Jfs tenía acceso libre a otros ordenadores de Gran Bretaña, Alemania y el CERN (Laboratorio Europeo de Partículas Físicas), en Suiza.[31]

Otro detalle que ilustra la gran actividad desplegada por aquellos hackers es una anécdota que suele contar el apòstol Jordi Murgó: un día, revisando los sistemas de la Universitat de Lleida por trabajo, se topó con Stk y Jfs[32], que habían conseguido entrar y tomar el control de buen número de máquinas. Las usaban para sus cosas, como hacer funcionar en una de ellas el robot que llevaba las tareas de mantenimiento de su canal privado #!hispahack en Undernet. El veterano Murgó descubrió cómo entrar en el canal, les avisó de que les había pillado, cerró los agujeros, borró los programas troyanos y se lo tomó a broma.

Pero otros no estaban para bromas. Entre marzo y septiembre de 1997, Stk y un chaval ajeno a !H, Magne, presuntamente robaron la base de datos de usuarios y contraseñas de un pequeño proveedor de Girona y los repartieron en el IRC. El proveedor, lleno de furia, empezó a investigar por su cuenta. Mientras, los alegres chicos de !H siguieron con sus aventuras. En su sensación de total impunidad olvidaron la bendita paranoia, patrona de los hackers, y Jfs y _JR_ se dejaron hacer una foto en una kedada

Paralela y presuntamente, Jfs se paseaba por las redes de la Universitat Politècnica de Catalunya (UPC), a pesar de ser lo boca del lobo más negro, pues allí residía el primer equipo de investigación en ciberseguridad que hubo en España, el esCERT. Según la denuncia de la UPC, Jfs asaltó 16 ordenadores y puso "sniffers" en 5 de ellos. Los sniffers son programas que graban todos los datos que pasan por un ordenador y se suelen usar para capturar nombres de usuario y contraseñas. Pero justo allí, en la boca del lobo, va Jfs y se equivoca al instalar uno de los "sniffers", que acaba grabando sus propios pasos. A ese rastro se agarra el esCERT para seguirle la pista.

Jaque mate

El 20 de enero de 1998, el ISP de Girona pone una denuncia contra Magne y Stk, este último presunto miembro de !Hispahack, ya que se conecta a la red con un dominio que lleva este nombre. El proveedor asegura que ambos chicos le han robado las claves de acceso y nombres de usuario de 2.500 clientes. Tres meses depués, conminada por la Guardia Civil, la Universitat Politècnica de Catalunya pone también una denuncia, por el ataque, el 11 de septiembre de 1997, con la obtención de privilegios de administrador, contra 16 ordenadores de un departamento.

El ISP de Girona y el esCERT colaborarán con la Guardia Civil en la investigación, lo que en la práctica significa que el proveedor y el equipo de la UPC llevan a cabo el grueso del trabajo ya que, en aquella época, los conocimientos de seguridad informática de las fuerzas de la ley dejaban mucho que desear. La investigación revela que el asaltante de la UPC viene de un ordenador también asaltado de la Universidad de Oviedo. Después, ya en los ordenadores de la universidad catalana, ha programado los "sniffers" para que manden los datos capturados a un ordenador de un cibercafé de Mallorca.[33]

Para más inri, el nombre de usuario con que se entra al ordenador de Mallorca es "hispahack" y el directorio donde se guardan los datos lleva el nombre "jfs". Los peritos del esCERT descubren también que hay alguien más, con el nombre de usuario thelobo, que "conoce la existencia y el contenido de la cuenta ‘hispahack’" pero no accede al ordenador a través de Internet sino físicamente, desde el cibercafé.

El 1 de abril de 1998, Jfs y Stk, de 21 y 22 años respectivamente, que trabajan en Gibraltar, reciben una invitación a visitar la comandancia más cercana de la Guardia Civil, en La Línea. Inocentes, incrédulos, van al matadero: nada más entrar, les encierran en un calabozo donde pasarán la noche. Stk se librará, pero para Jfs ha empezado un calvario. El mismo día, en Asturias, detienen a JR, de 26 años, un profesor de informática. A la mañana siguiente, cae Magne, en Barcelona. Hay además diversos imputados, como el abogado Carlos Sánchez Almeida, bajo el alias Shooting. Se les acusa de revelación de secretos y daños. Niegan todos los cargos excepto Stk quien, asustado, "canta" como un cosaco y, entre otras cosas, afirma haber hecho una conexión vía telnet a un ordenador de la NASA. La Guardia Civil se agarrará a esto para dar a los medios una imagen sensacionalista del caso.

Lo del Manda guebos!!

En declaraciones a "El País"[34], uno de los integrantes más respetados de !H, LeCrème, se mostraba convencido de que la persecución contra el grupo no se debió a estas travesura sino al deface de la web del Congreso de los Diputados de España, el 31 de octubre de 1997, donde alguien escribió:

Cuantos diputados y cuantas comisiones harán falta para descubrir que poner un ordenador en internet no es sólo enchufarlo [Manda guebos!!... 1-3, seguimos avanzando!] (!H)

Según "El Periódico"[35], la portada hackeada lució igual toda la semana, sin que nadie arreglase el desaguisado (la empresa TSAI, de Telefónica, era la responsable del servidor). Al final, un programa de radio sobre nuevas tecnologías en Onda Rambla, Power-UP, que dirigía Marc Bilbeny, avisó públicamente del deface.

A diferencia del mundo exterior, la hazaña corrió como pólvora en el "underground", donde fue aplaudida. Apareció en las secciones de Noticias de diversas webs y ezines, como el de JJF Hackers Team:

A principios de Noviembre el web del congreso español fue hackeada presuntamente por el grupo !H (no sera yo quien diga lo que significa :). Cuando conectas al web, aparecia una pantalla oscura con un grafico en el cual se veia un gran !H. Y debajo ponia la siguiente frase: "HAPPY HACKLOWEEN" y con otra que decia mas o menos "Señores del congreso, poner un web no es solo enchufar el ordenador.(!H)"[36]

Yandros, miembro de !H, aprovecha que ha pasado el tiempo para explicar que el ataque se fraguó en un canal de chat:

Sobre la famosa web del congreso... esa noche había mas de una copa en el ambiente, y fue una chica la que lo hizo, valenciana sin ir más lejos :)[37]

Pocos días después del deface, el 2 de noviembre, alguien desde una dirección de correo anónima envía a la Guardia Civil la dirección de una página donde hay fotografías en las que aparecen miembros de !Hispahack, entre ellos Jfs y _JR_. Para hacer más fácil su identificación, los nicks están escritos encima de sus caras. No queda claro si esta página es la web oficial de !Hispahack en el alojador gratuito Angelfire o la Guardia Civil llegó a ella por otras vías. En todo caso, los agentes visitaron la web de !H y leyeron con mucha atención los artículos, nombres y direcciones de correo que allí aparecían.

Atestado del hack al Congreso de los Diputados, facilitado por el abogado Carlos Sánchez Almeida.

La otra parte afectada por el deface, la compañía Telefónica de España, presentó al poco tiempo una queja -que no denuncia- a la Guardia Civil contra !Hispahack, por un intento de acceso a ordenadores de la NASA y de la Universidad de Oxford. De hecho, el ataque al Congreso se había realizado desde Estados Unidos:

La NASA envió una queja a Telefónica porque alguien, desde España, había intentado asaltar sus ordenadores y había dejado la huella H!. Se verifica que el asalto venía de un proveedor de Girona, quien denuncia que le han sustraido las claves de acceso de 2.500 usuarios. [38]

Pero, como explicará el entonces comandante del Grupo de Delitos Informáticos de la Guardia Civil a la Comisión Especial sobre redes informáticas del Senado[39], al no existir denuncias ni de Telefónica ni del Congreso de los Diputados, la investigación no podía ir más allá.

Con respecto a estos tres casos, como pueden ustedes imaginarse, no pudimos hacer absolutamente nada porque no existía una denuncia oficial sino que simplemente se recibió información sobre ello.[40]

Por eso la Guardia Civil insistió a la UPC y el proveedor de Girona para que presentasen denuncia formal.

El juicio y la sentencia

Se pedían 2 años de prisión para Jfs y una indemnización a la UPC de 2.700.000 pesetas.

El juicio se llevó a cabo el 26 de mayo de 1999. La defensa, que llevaba el abogado Carlos Sánchez Almeida, se centró en que no había más prueba contra Jfs que el hecho de que su nick coincidía con el nombre del directorio del ordenador del cibercafé. Algo que el juez, Juan Carlos Llavona Calderón, consideró insuficiente para condenar al joven. Almeida convenció además a juez y fiscal, cuyos conocimientos de informática eran nulos, de que Jfs era un hacker blanco, que no hacía ningún daño.

"¡Estamos ante un caso de "hacking blanco"!", acabó exclamando el propio fiscal, converso y emocionado, en el juicio de !Hispahack.[41]

Jfs fue absuelto[42] por considerarse los hechos denunciados probados, pero no atribuibles a su persona, ya que cualquiera, con el usuario "hispahack", podía entrar al directorio "jfs".[43]

Pero, a pesar de acabar en absolución, la sentencia gustó más a la Guardia Civil que a Carlos Sánchez Almeida, que la calificó de "muy dura"[44] en aspectos como la intimidad de las personas, pues el juez no reprobó el hecho de que la policía, sin orden judicial, exigiese datos de usuarios a cuatro importantes ISPs y estos se los diesen; o que se investigasen cosas sin existir denuncia previa.

Durante las pesquisas policiales, la Guardia Civil obtuvo información de diversos usuarios de Internet a través de las empresas proveedoras, en concreto Intercom, MrBit, Servicom y RedesTB. El caso extremo fue el de este último proveedor, que llegó a facilitar a la Guardia Civil, sin autorización judicial, el login y password de una persona cuyo único delito había sido firmar un artículo denunciando los abusos de Telefónica. [45]

También se criticó que el esCERT actuase como perito en el juicio, cuando era parte denunciante por su pertenencia a la UPC. Además, se aceptaron como pruebas los logs o registros de los movimientos que ha habido en un ordenador o sistema, algo discutido y discutible por el hecho de que, como ficheros informáticos, son fácilmente manipulables. Aunque, de hecho, a Jfs lo salvaron los logs, porque no aparecía en ellos.

Pero lo que más dolió a la comunidad fue que la sentencia criminalizase, por primera vez en el ámbito judicial español, la práctica del hacking, que definía como "conductas que, en cuanto suponen de agresión contra el interés del titular de un determinado sistema de que la información que en él se contiene no sea interceptada, resultan tanto más reprobables y aún merecedoras de sanción penal"[46][47].

Después de conocerse la sentencia, !Hispahack publicó en su web un documento, En la hora de la victoria, donde ofrecía una turbia versión sobre las causas de la actuación contra el grupo:

La Guardia Civil actuó contra Mentes Inquietas porque en nuestro Web se publicó un artículo en el que se informaba de las extrañas amistades de fuerzas de seguridad con las multinacionales del software y las telecomunicaciones, y un artículo en el que se reproducían los derechos que asisten a todo detenido, recogidos en las leyes españolas.[48]

La exageración de los medios

La nota de prensa de la Guardia Civil donde se informaba de la redada contra !Hispahack tenía su toque de exageración, llamando por ejemplo al grupo "banda organizada". Pero los medios aumentaron exponencialmente este amarillismo gracias a su completa ignorancia y ganas de "carnaza". Destaca entre todos el artículo que dedicó al caso "El Periódico de Catalunya". Tendencioso sería el calificativo suave para aquel texto, donde las detenciones de unas personas presuntamente inocentes se mezclaron con otras historias cuya veracidad no se comprobó y que no tenían nada que ver con el caso, pero invitaban al lector a creer que sí.

"El Periódico de Catalunya" dedicó dos páginas a la detención de !Hispahack

EL PERIÓDICO ha localizado a un hacker catalán –dice estar retirado– que hace tres años se coló en la NASA y, con las contraseñas captadas, llegó al simulador de guerra atómica de EEUU. (...) Un estudiante de la Universitat Autònoma de Barcelona (UAB) logró entrar en la NASA con el intercambio de unas claves conseguidas en el Centre de Supercomputació de Catalunya. Llegó al sistema de control de misiones espaciales. Otro alumno de la Universitat Politècnica de Catalunya manipuló en 1995 el programa de control de un satélite sin saber dónde estaba. Sus manejos hicieron que se moviera uno de los paneles solares y que dejara de recibir energía del sol. Tiempo después se pudo arreglar el pequeño estropicio. El estudiante fue castigado.[49]

Para completar el artículo se añadía una entrevista a Maki y Angeloso, que nada tenían que ver con el caso, detenidos un año antes por temas de warez y carding a raíz de una denuncia de la Business Software Alliance contra Isla Tortuga.

Segunda página del reportaje de "El Periódico de Catalunya" sobre el Caso Hispahack

En cuanto a los escasos medios que entonces operaban en la red, como "Noticias.com", del periodista Ángel Cortés, fueron más realistas e incluso denunciaron lo que consideraban un "montaje policial". "Noticias.com" fue el único medio de comunicación donde aparecieron declaraciones de Jfs justo después de la detención:

Lluís F.F., manifestaba "Estoy muy dolido, ni hemos entrado en la NASA ni nada, todo me parece una locura y una exageración de la Guardia Civil que hasta nos ha pinchado los teléfonos".[50]

La oscuridad

El principal efecto del Caso Hispahack en la comunidad hacker fue generar miedo, explica Almeida:

Despertó un sentimiento de persecución, de Internet como zona peligrosa, y la consecuencia fue que los grupos se cerraron.[51]

El primer en cerrarse fue !H, que aunque siguió en pie nunca fue el mismo. Se hizo más "underground" y paranoico, el cifrado se convirtió en su fiel compañero, explica Yandros:

Blindamos todas nuestras conexiones (en una maquina mía, por cierto), empezando a usar asiduamente protocolos de cifrado para todo lo que haciamos. Hasta ese momento, y por contra de lo que decia Anselmito del Moral, hablabamos en undernet sin ningun tipo de reparo :)[52]

La paranoia era y es clásica del mundo hacker, donde se traspasan límites con suma facilidad y está siempre presente el riesgo de que te pillen, pero ciertamente !H rizó el rizo, explica Zhodiac:

Una caracteristica muy de !H fue lo cerrado (opaco, oscuro) que era todo. La gente en el underground espanyol no sabia quien era o dejaba de ser de !hispahack pk normalmente se publicaban con pseudonimos no reales. Eso era en la segunda etapa para la protección de los miembros ante nuevas embestidas policiales, y posiblemente infundadas. Eso era muy de !h, esa opacidad. Si alguien decia ser de !H muy posiblemente no lo era :)[53]

Operación Millenium

La Guardia Civil bautizó como Operación Millenium la detención de 55 personas en 16 provincias españolas, en enero del 2000, por presunto uso fraudulento de números de teléfono 900, los cuales correspondían a módems que permitían conectarse gratuitamente a Internet, pagando la factura la empresa propietaria de los mismos.

La utilización de líneas 900 ajenas, cargando el coste a las empresas propietarias, es un hecho bien conocido y cuyo origen se remonta años atrás.[54]

Entre las empresas denunciantes destacaban Microsoft Ibérica, Toshiba y Novartis[55]. Según las mismas, el fraude alcanzaría la cifra de más de 50.000 pesetas por persona (menos de esta cantidad sería estafa, un delito menor) y las llamadas se habrían hecho desde 200 números de teléfono distintos.

La investigación, llevada a cabo por el Grupo de Delitos Telemáticos de la Guardia Civil, empezó en marzo de 1999, tras la detención en Madrid de una persona que hacía compras en Internet con tarjetas de crédito de terceros. Según los investigadores, esta persona pertenecía a un grupo de phreakers llamado COM 30, dedicado a diversos tipos de fraudes y delitos telefónicos, como divulgar en el "underground" números de tarjetas de crédito y de líneas 900. También clonaban tarjetas de móviles.[56]

Tras casi un año de investigación, la Guardia Civil localizó a los presuntos cabecillas de COM 30, _X_ y Danko, residentes en Alicante y Córdoba respectivamente. Se les acusaba de proporcionar a otros internautas números de tarjetas de prepago pertenecientes a terceras personas, así como instrucciones precisas para conectar a Internet a través de números 900.

Ambas prácticas eran tan viejas como las BBS e Internet. Por ejemplo, la denuncia contra Isla Tortuga se había basado en los cracks que se ofrecían, pero lo que había allí a montones eran números de tarjetas de crédito, robados o generados con programas especializados. En cuanto a los 900 se conseguían probando uno a uno, de forma automatizada, rangos de números de teléfono hasta encontrar los gratuitos.[57]

Para ello era útil trabajar en equipo, normalmente dentro de un mismo grupo de hackers, ya que se repartían los rangos a escanear:

Por ejemplo "yo esta semana escanearé los 900354xxx" y él los 900355xxx y aquella semana escaneábamos aquellos rangos (2.000 números) y después nos avisábamos de en qué números atendía un módem. Y a la semana siguiente, otros rangos. Así encontramos muchos 900, especialmente en los rangos 90035xxxx.[58]

Por aquel entonces, muchas empresas tenían números 900 para que sus empleados pudiesen mandarles datos (por ejemplo el perito de una aseguradora) o para centralitas. Una de estas empresas era Recoletos, editora de medios de comunicación como "Marca" o "Expansión". Un hacker que trabajaba allí filtró uno de los números al "underground", lo que en menos de un año conllevó facturas de teléfono de varios millones de euros a la empresa, que acabó cerrando aquella línea.

Cuando un phreaker localizaba un 900 se lo quedaba para uso propio o lo regalaba a los amigos; pero en este últio caso siempre acababa habiendo filtraciones que hacían correr el número por todo el "underground", en listas de correo, canales de IRC o foros en la web. Cuanto más privado se conservaba el número, más tiempo se podía usar, incluso años, porque las facturas no alertaban a la empresa. Divulgarlo era "quemarlo":

La multinacional SITA, relacionada con la industria aeronáutica, tenía una pasarela X25 a través de un número 900 que alguien filtró. Pero para entrar a X25 se necesitaba también una Network User Address (NRI). Alguien lo simplificó con un programita que conectaba a SITA y después a los NRI. Pero claro, el problema de hacer las cosas sencillas es que los script_kiddies se aprovechan, y después cierran los 900 y vienen las denuncias.[59]

La mayoría de empresas que descubrían que los hackers estaban usando sus módems gratuitos cerraban la línea y ya está. Pero algunas lo denunciaban. Fue el caso, en 1997, de IBM Global Services. Pero no afectó a tanta gente ni tuvo la trascendencia mediática de la Operación Millenium.

En su nota de prensa, hoy desaparecida, la Guardia Civil calificaba la operación como el "descubrimiento de una de las redes más importantes de defraudadores en nuevas tecnologías". Sabiendo cómo funcionaba el descubrimiento y circulación de números 900 en la red, esta afirmación era incierta, aseguraba el investigador Bernardo Quintero, de Hispasec:

Hemos podido constatar que los números 900 motivos de la investigación estaban al alcance en diversos foros, sin necesidad de pertenecer a un grupo determinado para acceder a ellos. Parece claro que no existía un grupo organizado tan voluminoso y que este y otros aspectos sobre la operación se han podido sobredimensionar en los diferentes comunicados.[60]

La mayoría de acusados, estudiantes de Informática o Telecomunicaciones, aseguraron no tener relación con COM 30 y haber encontrado los números en Internet, donde era fácil localizarlos, como corroboraron los medios:

La utilización fraudulenta de los números 900 era un secreto a voces en Internet, donde se pueden encontrar numerosas listas de dichos dígitos para que los usuarios los utilicen a su libre albedrío.[61]

Cuatro años después, la mayoría de sentencias fueron absolutorias[62]. En bastantes casos, las denuncias ni siquiera prosperaron, por defecto de forma: bien por mala redacción o porque la cantidad de dinero que supuestamente habían gastado no llegaba a las 50.000 pesetas y por tanto no era fraude.

Según el abogado Carlos Sánchez Almeida, quien defendió a tres detenidos, entre ellos a _X_, la Operación Millenium significó un jarro de agua fría para el "underground" hispano:

Fue la operación policial que generó más paranoia, mucho más que el caso !Hispahack, por el número de implicados y porque todo el "under" usaba estos números.[63]

A partir de estos hechos, algunos grupos de hackers abandonaron su actividad y otros restringieron mucho la admisión de nuevos miembros, como recuerda uCaLu, de Undersec, porque se sospechaba que había habido un delator:

Después de la operación Milenium volvió a entrar el pánico en los grupos nacionales de hack/phreak/virus ... y se hermetizo de nuevo todo, ya que muchos de nosotros pensábamos que el descubrimiento de los patanes de la Guardia Civil no habían sido por ser técnicamente buenos... sino por chivatazos. Por lo tanto se volvió a la época en la que era muy difícil formar parte de grupos de Hack para los que empezaban en ese momento.[64]

La operación Millenium recabó además muchas críticas por considerarse una operación de imagen, un día antes de la celebración de las primeras Jornadas sobre Delitos Cibernéticos de la Guardia Civil, como explica Sánchez Almeida:

Fue una operación política montada por Mayor Oreja porque coincidía con unas jornadas de seguridad en Madrid y la campaña electoral en marzo de 2000. Aprovecharon esta operación para demostrar eficacia.[65]

Notas

  1. Un 'agujero' en La Moncloa. Iñigo More. "El País" (13-10-95)
  2. Juan García Varilla en conversación con Javier Trapero
  3. Obtaining and Cracking a UNIX Password File (Part 1). Ice Dragon. The Information Warfare Site
  4. ABC demuestra la inseguridad informática de los principales organismos del estado. J.M. Nieves, R. García, A. Rodríguez. "ABC" (29-09-96)
  5. Los rescatadores. Mercè Molist para "Ciberpaís" (18-04-01)
  6. "Soy totalmente contrario a contratar hackers". Entrevista Carlos García. Mercè Molist
  7. "Los hackers son un poco autistas". Entrevista Anselmo del Moral. Olalla Cernunda y Pedro de Alzaga. "El Mundo" (06-11-98)
  8. Detienen a un joven de Murcia, acusado de robar ficheros en un ordenador del Ministerio del Interior, por Internet. Mercè Molist (1999)
  9. Un juez archiva el caso del 'hacker' de Interior y afirma que acceder a una 'web' no es delito. "El País". Ciberpaís (16/05/02)
  10. Mave, en conversación privada
  11. Mave, en conversación privada
  12. Mave, mensaje privado a KHK (01-96)
  13. Lester, en conversación privada
  14. Mave, en conversación privada
  15. Mave, mensaje privado a KHK
  16. Primer caso contra "ciberintrusos". Olalla Cernuda. Diario del Navegante. "El Mundo" (13-05-99)
  17. Se busca Ciberdelincuente. Rosa Infante. "El Mundo" (01-03-98)
  18. "Los hackers son un poco autistas". Entrevista con el teniente Anselmo del Moral, jefe del Grupo de Delitos Informáticos de la Guardia Civil. Olalla Cernuda. Diario del Navegante. "El Mundo" (06-11-98)
  19. Hackers. Emilio del Peso Navarro. IEE Informáticos Europeos Expertos. Revista "En Línea" n.16 (11-97)
  20. Primer caso contra "ciberintrusos". Olalla Cernuda. Diario del Navegante. "El Mundo" (13-05-99)
  21. Se busca Ciberdelincuente. Rosa Infante. "El Mundo" (01-03-98)
  22. Apuntes del sumario. Mercè Molist
  23. Primer caso contra "ciberintrusos". Olalla Cernuda. Diario del Navegante. "El Mundo" (13-05-99)
  24. El fiscal pide el indulto para los presuntos 'hackers' de Tarragona. Mercè Molist (10/05/00)
  25. El fiscal pide el indulto para los presuntos 'hackers' de Tarragona. Mercè Molist (10/05/00)
  26. Apuntes del sumario. Mercè Molist
  27. La seguridad informática entra en juego. Mercè Molist para "Ciberpaís" (20-02-00)
  28. Los incidentes de seguridad se doblan en un año. Mercè Molist para "Ciberpaís" (16-01-01)
  29. Los ataques informáticos subieron moderadamente el año pasado. Mercè Molist para "Ciberpaís" (09-01-03)
  30. Hispahack: tres "cerebros" desactivados. Mirta Drago. Diario del Navegante. "El Mundo" (04-04-98)
  31. El informe pericial del esCERT añade nuevos datos al "Caso Hispahack". Mercè Molist para "Ciberpaís"
  32. Jordi Murgó, en conversación privada
  33. El informe pericial del esCERT añade nuevos datos al "Caso Hispahack". Mercè Molist para "Ciberpaís"
  34. El informe pericial del esCERT añade nuevos datos al "Caso Hispahack". Mercè Molist para "Ciberpaís"
  35. Los 'ciberpiratas' españoles se cuelan en la NASA y el Pentágono.J.G.Albalat. "El Periódico de Catalunya" (01-06-98)
  36. Web del congreso hackeada. Noticias Underground. JJF HACKERS TEAM JOURNAL 01 (1997)
  37. Yandros, cofundador de Hispahack, en conversación privada
  38. Los 'men in green' del capitán moral.es. Luis Gómez. "El País" (19/03/00)
  39. Diario de Sesiones de Comisión Especial sobre redes informáticas del Senado, número 488 de fecha 30/09/1999
  40. Diario de Sesiones de Comisión Especial sobre redes informáticas del Senado, número 488 de fecha 30/09/1999. Anselmo del Moral.
  41. Salvado por el nick. Mercè Molist para "Ciberpaís" (10-06-99)
  42. Absuelto el acusado del "caso Hispahack!". El Mundo (04-06-99)
  43. Sentencia Caso !Hispahack (28-05-99)
  44. Salvado por el nick. Mercè Molist para "Ciberpaís" (10-06-99)
  45. En la hora de la victoria. !Hispahack
  46. Caso !Hispahack: La Resolución del juez
  47. Sentencia Caso !Hispahack (28-05-99)
  48. En la hora de la victoria. !Hispahack
  49. Los ciberpiratas españoles se cuelan en la NASA y el Pentágono. J.G. Albalat. "El Periódico de Catalunya" (01-06-98)
  50. "Todo ha sido un montaje policial". Ángel Cortés. Noticias.com (08-04-98)
  51. Carlos Sánchez Almeida, en conversación privada
  52. Yandros, cofundador del grupo, en conversación privada
  53. Fermín J. Serna (Zhodiac), en conversación privada
  54. Operación "Millenium": las dos caras de la moneda. Bernardo Quintero. Hispasec (17/01/00)
  55. Detenidos cien internautas de 16 provincias por una estafa informática. Mercè Molist. El País (19/01/00)
  56. Operación "Millenium": las dos caras de la moneda. Bernardo Quintero. Hispasec (17/01/00)
  57. Líneas 900. Jeck's page (1998)
  58. Anónimo
  59. Anónimo
  60. Operación "Millenium": las dos caras de la moneda. Bernardo Quintero. Hispasec (17/01/00)
  61. La Guardia Civil detiene a un centenar de personas por utilización fraudulenta de "números 900". Olalla Cernuda. "El Mundo" (18/01/00)
  62. Así terminan las redadas de hackers. HackHispano (05/04/04)
  63. Carlos Sanchez Almeida, en conversación privada
  64. uCaLu, en conversación privada
  65. Carlos Sánchez Almeida, en conversación privada

Enlaces externos

Universitat Rovira i Virgili

El caso Hispahack

Operación Millenium

Hackstory.es - La historia nunca contada del underground hacker en la Península Ibérica.