Los ‘hackers’ de los Mossos no tapan bien su rastro


Phineas Fisher anuncia que desaparece y dejará de utilizar los seudónimos con los que firmaba los ataques

Los responsables del ataque publicaron un vídeo para mostrar cómo habían hecho el ataque informático al Sindicato de Mossos / XAVIER BERTRAL
Los responsables del ataque publicaron un vídeo para mostrar cómo habían hecho el ataque informático al Sindicato de Mossos / XAVIER BERTRAL

El ciberataque al Sindicato de Mossos (SME), que resultó en la  filtración en internet de los datos personales -Dirección de casa incluidas- de 5.540 policías no fue obra de una sola persona. Según los investigadores, el hizo un grupo coordinado que sabía lo que se hacía. Pero afirman que no les han atrapado porque alguien les haya delatado, sino porque no taparon bien su rastro en la red . El inspector y jefe del área central de investigación de personas, Jordi Domènech , ha explicado hoy que los indicios que tienen indican que los detenidos de ayer en Salamanca y en Barcelona, y un cuarto hombre que se presentó hoy en una comisaría, son los responsables y trabajar conjuntamente. Los Mossos aún deben analizar todo el material informático incautado pero por ahora no prevén más detenciones.

“El ataque se hizo mucho antes de que no se reivindicara”, explicó Domenech. En una primera fase, entre el 28 de abril y el 17 de mayo, los ‘hackers’ vulneraron la seguridad de la web del SME, accedieron a la base de datos del campus virtual y consiguieron la información de los policías afiliados. “Hasta el día 17 se hacen diferentes gestiones relacionadas con el ataque”, dijo el inspector; o sea que la acción se gestó durante veinte días , como mínimo. El 17 de mayo por la noche, los autores del ataque tomaron el control de la página y de la cuenta de Twitter del sindicato, comenzaron a publicar la reivindicación del ataque y difundieron los datos de los policías. El día 19 se publicó y difundió un vídeo que enseñaba como se había hecho cometido el ciberataque, simulando sus pasos una por una.

“Son ‘hackers’, son buenos y utilizan la red Tor y servidores ‘proxy’ -diferentes sistemas para que no se pueda saber desde donde se hace el ataque- pero durante el proceso cometen algunos errores que nos llevan al domicilio de Santos “, aseguró el inspector Domènech. En el piso de Santos detuvieron en ella dos personas, un hombre de 31 años y una mujer de 35, ambos ingenieros ; que ya han quedado en libertad con cargos. Incautaron allí ordenadores, servidores y otros aparatos y se encontraron algunas sorpresas: ‘forfaits’ falsos de la estación de esquí de Grandvalira y las herramientas para hacerlos, y 51 mandos a distancia robados al empresa automovilística donde trabajan ambos. Con algunos pequeños cambios de programación, dijo el inspector, los mandos podrían servir para abrir cualquier coche de la marca.

Como los han identificado

Cuando los atacantes haber conseguido la contraseña de algún usuario para acceder al campus virtual de la SME intentaron entrar, pero el sistema de anonimización que utilizaban,la red Tor , hace circular las peticiones del internauta para servidores situados en diferentes lugares del mundo y la web de los Mossos bloqueaba el acceso desde el extranjero. Por ello, explicó Domenech, mientras preparaban el ciberataque entraron en la base de datos a través de un servidor ‘proxy’ o, incluso, sin enmascarar su rastro . Una vez en el campus virtual del SME hacían acciones “extrañas” para un usuario normal que quedaron registradas y que encajan con las que había que hacer para cometer el ataque. Además, aunque los servidores ‘proxy’ enmascaran la dirección IP del internauta -el número que identifica cada punto de conexión-, los Mossos se dirigieron a los responsables de los servidores para conseguirlas. También descubrieron que la configuración (tipo de navegador, sistema operativo específico basado en Linux, etc.) de los usuarios que hacían peticiones “extrañas” correspondía con la de los que hacían el ataque a través de Tor.

Todo este mecanismo permitió que los agentes de la unidad central de delitos informáticos ataran cabos, explicó Domenech, y con “una investigación puramente tecnológica” y identificaran las direcciones digitales, las IP, con la dirección del piso de Santos y la de otro domicilio de Barcelona, donde viven los padres de un hombre de origen suizo. También descubrieron que la pareja de Santos había estudiado la misma ingeniería y había compartido asignaturas con el hombre de origen suizo . Al suizo de entrada no pudieron arrestar porque viaja a menudo pero hoy se ha presentado en la comisaría con un abogado , donde le han tomado declaración. Después ha quedado libre, pero con la condición de investigado por el caso que coordina el juzgado de instrucción número 33 de Barcelona. Según los Mossos, algunos de los investigados también habían participado conjuntamente en actos sobre ‘hacktivismo’. Todos estos vínculos entre sí hacen difícil pensar que los responsables del ataque fueran otros y utilizaran las redes wifi de los arrestados por cometer el ataque.

Los detenidos son Phineas Fisher?

La policía no tiene clara la relación de los cuatro investigados con el autor o los autores de los ataques informáticos a las empresas de ‘software’ espía  Hacking Team y Gama Group . Estos dos ciberataques, el de los Mossos, y algunos otros han reivindicado desde la misma cuenta de Twitter – @ GammaGroupPR, clausurado hace unas semanas y ahora en manos de otro usuario- y con los mismos seudónimos: Phineas Fisher y Hack Back . Por ahora los Mossos, que aún deben analizar todo el material informático incautado, no tienen pruebas de que ninguno de los cuatro investigados estén implicados con los ataques a Hacking Team y Gama Group , pero no descartan que puedan encontrar o que todos trabajaran conjuntamente, de manera coordinada. También podría ser que se tratara de ‘hackers’ que hicieran acciones aisladas y sólo compartieran pseudónimos, cuenta de Twitter, correo electrónico y clave de cifrado para reivindicar la foto.

Desde el correo electrónico vinculado a los ciberataques a Hacking Team, Gamma Group y los Mossos se ha enviado un mensaje a este diario que deja claro que Phineas Fisher tiene intención de desaparecer : “Borré las cuentas de Twitter y Reddit para que no me fío de líderes, personas importantes con poder social. Y me di cuenta de que me había convertido en uno de ellos “, explicó en catalán. Ya hace unas semanas que eliminó las dos cuentas. Y ha añadido: “si vuelvo a ‘hackear’ inventaré nombres y cuentas nuevas” . No tiene porque dejar de actuar, pues, pero si no cambia de opinión el seudónimo con el que ha conseguido mucho eco entre la comunidad ‘hacker’ está destinado a desaparecer. La antropóloga especialista en Anonymous Gabriella Coleman ya  explicó a este diario que veía posible que Phineas Fisher fuera un seudónimo de un grupo especialmente cuidadoso en cuanto a la seguridad.

No hay manera de saber, hoy por hoy, si Phineas Fisher es una sola persona, un grupo coordinado o agentes aislados que comparten algunos mecanismos de difusión de sus actividades. En algunos de los primeros correos intercambiados con este diario Fisher  afirmaba que no sabía catalán y en algunos de los últimos explica que sabe porque ha vivido en Cataluña . No se puede descartar del todo que tenga algún tipo de relación con los detenidos. Sea como sea, teniendo en cuenta sus últimas declaraciones, es previsible que se haga escurridizo una temporada e intente que, si todavía no lo han cazado, no lo hagan en un futuro. El autor de los ciberataques a Hacking Team y Gama Group no tiene que preocuparse sólo de los Mossos.

Difusión de los datos personales

El detenido de Salamanca lo arrestaron y liberar ayer mismo por la redifusión de los datos personales de los Mossos, pero los investigadores consideran que se coordinó con los otros para hacerlo . Domènech ha explicado que de entrada los autores del ataque publicaron los datos en un archivo de texto a Github.com, a las 23:02 del 17 de mayo. El documento lo retiraron a las 2.30 pero cuando sólo hacía media hora que estaba publicado alguien lo descargó, lo transformó en un archivo .csv y lo publicó en el servicio para compartir archivos WeTransfer. Los Mossos han llegado a la conclusión de que quien lo hizo es la misma persona que luego difundió por Twitter y Quitt el enlace de WeTransfer, el hombre de 33 años que arrestaron ayer en Salamanca -y que había vivido en Barcelona. El vinculan con el grupo de atacantes precisamente porque hizo toda esta serie de acciones muy poco tiempo después de que se publicara el archivo. Según Domenech no usó Tor ni ningún sistema para proteger su rastro en internet.

Desde aquel enlace de WeTransfer, que continuó 34 horas en línea hasta que los Mossos le pudieron hacer retirar, el archivo se descargó 135 veces. Tras otra gente lo volvió a publicar en otras plataformas como Dropbox y Mega. Ahora mismo los policías no saben cuánta gente lo tiene pero cada vez que lo detectan publicado en internet luchan por eliminarlo. El intendente portavoz de los Mossos, Xavier Porcuna , explicó que a raíz de la difusión de los datos algunos policías han recibido amenazas por mensaje o por teléfono , pero que “afortunadamente no ha habido consecuencias a nivel personal”, al menos por ahora . El cuerpo ofrece ayuda tecnológica y de seguridad a los 5.540 afectados. El portavoz del SME, Toni Castejón , aseguró que este “ha sido el ataque informático más importante en un cuerpo policial a nivel estatal” y resaltó la gravedad del delito en un contexto de alerta antiterrorista de nivel 4.

Para saber más: Los Mossos arrestan a tres personas por la filtración de datos personales 5.540 policías

ARA CAT

Mercè Molist* habla con Phineas Fisher

He estado hablando con Phineas Fisher en las últimas horas. Puedo confirmar que es él quien está mandando mails desde la dirección de siempre, en riseup.net. Para comprobarlo le hice una pregunta sobre algo que sólo sabíamos él y yo. Y ha dado la respuesta correcta. Por otra parte, está usando la misma clave PGP de siempre así que, a no ser que le hayan cogido el disco duro, diría a ciencia cierta que es él.

Me escribe para corregirme, como no: las cuentas de Twitter y Reddit no las borró en diciembre porque sospechase de una operación policial en marcha, sino porque “no me fio de líderes, de personas importantes con poder social, y me di cuenta que me había convertido en uno de ellos. Si hago mas hackeos inventaré nombres y cuentas nuevas”. Y acaba: “Estoy bien, no sé quienes han detenido los mossos”.

Empecé a cartearme con Phineas Fisher en primavera de 2016. O, más bien, debería decir que me carteaba con alguien que decía ser Phineas Fisher porque, en el mundo de los hackers y sus apodos, en la oscuridad del ciberespacio, nunca sabes de verdad con quién estás hablando. Sólo un detalle le daba credibilidad: usaba la misma cuenta en Twitter, @gammagroupPR, que había usado el autor del ataque a Hacking Team, Phineas Fisher.

Respecto a la vida privada de Phineas, poco podría decir porque todo lo que contó puede ser mentira, afirmaciones incomprobables. Otra cosa seria conocer su pensamiento porque no se simulan tan fácilmente firmes convicciones político-sociales como las suyas. Las canciones (http://hackstory.net/upload/5/5a/Smehack.mp3) que formen la banda sonora del vídeo donde muestra cómo hackea el servidor del Sindicat de Mossos d’Esquadra (SME) son toda una bandera.

Un día, me dijo: “Te respeto por haber puesto en marcha los hackmeetings y por ser activista, pero me parece que has olvidado la política, junto con los hackers sobre los que escribes. Cuando crecen y consiguen un trabajo bien pagado, pierden la conciencia política. Por eso incluí en el vídeo de los Mossos la canción “Which side are you on?”. Quieren mantener su imagen de hacker y rebelde, al mismo tiempo que tienen una vida estable y cómoda”.

Cuando Phineas Fisher era más joven, decía, “admiraba a expropiadores como Lucio Urtubia, Enric Duran y Los Solidarios, no a guardias de seguridad de bancos. Ante este sistema, responsable de tanta miseria y destrucción, lo ético es atacarlo, no protegerlo”. Y me criticaba: “Escribes sobre hackers de sombrero blanco y cibercriminales, poniendo etiquetas de “buenos” y “malos” sin cuestionar cómo de buenos son los buenos y cómo de malos son los malos”.

¿Qué quieres decir con eso? le pregunté. “Quiero que veas que los criminales son personas. En la prensa hablan como si no tuviéramos sentimientos ni motivaciones. O, si tenemos motivaciones, el único es el dinero, diferente a los “whitehats”, que no les interesa el dinero, sólo quieren salvar el mundo”. Nótese la ironía.

Un día le pregunté: ¿Por qué atacaste a los Mossos?. Y me dijo: “Buscaba evidencias de que estaban espiando a activistas o algo así. En 5 minutos de buscar en Google “mossos” ya había encontrado la página del Sindicat y el error de SQL Injection”. Entonces pensó que “en las bases de datos estaban los números de placa y esto permitía relacionarlos con los nombres de los policías, podía ser útil para periodistas que investigasen casos de abusos”. Y, como según él “no quería perder más tiempo con esto, tenía otras cosas más interesantes por hacker”, decidió “asaltar su cuenta en Twitter, filtrar la base de datos y hecho”.

Pero el ir con prisas le hizo cometer un error: “No me dí cuenta de que en el archivo torrent donde puse todos los datos también había una base de datos de 4.200 estudiantes de la academia de policía online del SME”. Le preocupaba este error porque “yo quería difundir la información por si alguien intentaba investigar a la policía de forma seria, no para que gente normal tuviese que sufrir bromas telefónicas o que alguien enviase una pizza a su casa”. Circunstancia que, aseguraba, “si queremos ser honestos son los únicos peligros reales a los que se enfrentan los Mossos con esta filtración”.

Mientras hablábamos pasaban las semanas y no paraba su frenética actividad hacktivista. Donó 10.000 dólares -que aseguraba haber “expropiado” a un banco- a los anticapitalistas kurdos de Rojava (http://securityaffairs.co/…/cyber-crime/phineas-fisher-hack…), publicitó la idea de formar un movimiento político hacktivista (http://motherboard.vice.com/…/notorious-hacker-phineas-fish…), propuesta que le valió el aplauso de la musa de Anonymous, Biella Coleman, y se dejó entrevistar ante las cámaras disfrazado de marioneta (https://motherboard.vice.com/…/hacker-phineas-fisher-hackin…).

Le dije que no le dejaría ir sin entrevistarle y me preguntó qué quería saber. A boleo, le dije: ¿Qué opinas de la comunidad hacker?. Y respondió: “Honestamente, no me relaciono con otros hackers, para mi la cultura hacker son una panda de mamones, narcicistas, grandes egos, machistas y competitivos. Me identifico más con la ética punk Do It Yourself. Tiene todo lo bueno de la cultura hacker: DIY, usar “mal” de forma creativa cosas para que sirvan a propósitos diferentes, compartir conocimiento, zines, anti-autoritarismo, etc. Excepto que, a diferencia de los hackers, muchos punks a los que he conocido son realmente buena gente, generosos y con los pies en la tierra”.

Phineas solía recomendarme libros. Me llamaron poderosamente la atención dos: “How non-violence protects the state” y “Smash Pacifism; A Critical Analysis of Gandhi and King”. Y de vez en cuando me daba lecciones como esta: “Aquellos que sienten que necesitan dividir su movimiento en partes “buenas” y “malas” y condenan y aislan a los que se involucran en accionen más combativas e ilegales, pensando que esto les hará ganar el favor de sus opresores y salvarles de la represión, están equivocados, son perjudiciales y malinterpretan completamente movimientos sociales históricos tratando de justificarse a sí mismos”.

La imagen puede contener: texto
Mercè Molist Ferrer (n. Manlleu, Barcelona, 1969) es una periodista de Cataluña (España), especializada en Internet, comunidades virtuales y seguridad informática. Colabora en el suplemento sobre tecnología e Internet de El País desde sus inicios; escribió también en la ya extinta revista Web, y en @rroba [cita requerida].

Formó parte desde 1996 de Fronteras Electrónicas asociación civil en favor de los derechos electrónicos que promovía el libre uso de la criptografía y defendía la privacidad y la no intromisión de los gobiernos en la red, luego transformada en el capítulo español de Computer Professionals for Social Responsibility.

Vinculada por su trabajo con la comunidad hacktivista española, Molist introdujo en el 2000 la idea de traspasar los Hackmeetings italianos a España; aquel año colaboró en la coordinación del primero, que se celebró en Barcelona, en el centro okupado Les Naus.