El estudiante "hacker" de la UADE, un atacante que dejó huellas por todos lados
El delincuente informático ya estaba en la mira de la Policía Metropolitana, sospechado por robo de dinero mediante la manipulación de sistemas; un detalle sobre cómo se ejecutaron los ingresos no autorizados a la red de la UADE
Los hackers y los periodistas tienen algo en común: sus vidas no se parecen en nada a las que se pintan en las películas. Lo que se sabe hasta ahora sobre el "hacker de la UADE", como fue bautizado y como –podría apostarse– quedará hasta el fin de los tiempos, es una vasta colección de incertidumbres y contradicciones. La investigación es real y fue realizada por agentes que gozan de muy buen crédito en el ambiente. Pero en algún momento se transformó en una de vaqueros. He aquí los puntos flojos de las crónicas que se vieron hasta ahora.
En primer lugar, un hacker de verdad no va a atacar un sitio desde su casa sin ofuscar su dirección IP. Debería saber que el IP es como la patente del auto y que Internet es como una ciudad con 100 cámaras de seguridad por metro cuadrado.
En segundo lugar, y aunque el protocolo indica que, sí, que hay que cortar la luz en la manzana, habría alcanzado con cortar la luz del edificio. Rodear la manzana también es de rigor, pero hacer hincapié en este aspecto de la escena da a pensar que además de hacker el detenido era un hombre araña. Hay más, sin embargo: si le cortaron la luz, cómo es que lo encontraron intentando borrar información contrarreloj de un disco rígido. ¿Con una goma de borrar?
Varias cosas sobre esto. Primero, no hay manera de borrar información contrarreloj. De la misma forma que es poco probable que el periodista se meta a la madrugada en una repartición pública y rebusque documentación con la ayuda de una linterna en un sótano repleto de archiveros, la información digital es muy difícil de borrar de forma segura. Es decir, no alcanza con vaciar el tachito de basura. Esto, de hecho, no borra nada. Un disco estándar de computadora demandará unas cuantas horas; de 9 a 12, dependiendo de un número de factores. Así que no hay nada contrarreloj aquí. No obstante, es verdad, según pude confirmar, que lo encontraron intentando eliminar datos. Pero, ¿necesitaba hacerlo?
En principio, no. Ningún hacker que se precie necesita borrar nada contrarreloj. Lo que hará será cifrar sus discos. Lo mismo que sus dispositivos móviles.
Se hizo también un inventario del hardware que el estudiante de la UADE tenía en su casa, como si hubieran encontrado un verdadero nido de espías informáticos. La foto es elocuente: no tenía nada que no pueda encontrarse en la casa de cualquier estudiante de sistemas o aficionado a la tecnología. Además, ¿desde cuándo es incriminatorio el tener 4 celulares, una tablet, un par de módems, varios reproductores de CD y unas cuantas computadoras? Sin ánimo de presumir, y sólo para entendidos, aquí en casa, desde donde ahora escribo esto, hay unos 10 números IP asignados dentro de la red local. ¿Debería preocuparme?
Y, por añadidura, ¿realmente tiene sentido forjar un ataque de denegación distribuida de servicio (o DDoS, por sus siglas en inglés) con 9 computadoras? No, y eso es porque lo que hizo este alumno de la UADE fue mucho menos espectacular.
Accesos no autorizados
Hablé esta mañana con un investigador allegado a la causa que me explicó cómo fueron los hechos en realidad. El alumno que ahora está detenido ya tiene antecedentes en otro caso similar, que investigó la Policía Federal, y en el que supuestamente sustraía dinero usando computadoras. También en ese caso se publicaron datos sospechosos. Por ejemplo, que tenía 14 discos rígidos y computadoras "con mucho más poder de cómputo de lo corriente". ¿Cuánto sería lo corriente?
En el caso que nos ocupa ahora, el estudiante descubrió un par de vulnerabilidades en la aplicación que usan los alumnos para entrar en el portal de la universidad, llamado Mi UADE, que le permitieron saltar de usuario a usuario, hasta que llegó a los que tienen que ver con la administración de seguridad y la administración de sistemas, y también pudo entrar mediante la cuenta del decano, según surge de la investigación. Al principio sólo curioseó un poco, usando siempre su propio usuario; como medida para borrar sus huellas, algo básico y elemental, no fue muy astuto. En general los alumnos no curiosean un poco aprovechando vulnerabilidades.
Luego, por medio de las cuentas de administrador a las que había tenido acceso, empezó a hacer ciertas modificaciones. En particular, alteró las calificaciones de sus exámenes. Luego, para mayor comodidad, plantó en el sistema de la UADE lo que se conoce como shell de ASP, es decir, una herramienta tipo línea de comando (terminal o shell, en la jerga) para administrar servidores, en este caso los de la tecnología ASP de Microsoft. Ningún malware, en otras palabras.
Instalado el shell de ASP, pudo hacer cambios en las notas de forma remota, hasta que un profesor notó las inconsistencias (entre otros motivos, porque quedan asientos en papel de esta información) y allí se inició la investigación. Para entonces el supuesto hacker ya había dejado un buen número de rastros de su actividad. No queda claro si por error (un error demasiado grosero) o porque presentía que nunca lo iban a atrapar.
La UADE aportó todos estos registros a los investigadores: cuándo y cómo el estudiante se había logueado y los comandos que había ejecutado desde el shell ASP. Dato más que sintomático: en algún momento se logueó desde un número IP de Mar del Tuyú. Al rato, desde el mismo IP, se logueó con la cuenta del decano. Eso equivale, en el ambiente, a dejar los dedos marcados por todos lados.
No es, pues, ninguna novedad, que lo hayan detenido, y la sensación que deja está muy lejos de la de esas imaginativas películas de espías informáticos en las que los discos se borran en segundos y los helicópteros sobrevuelan el espacio aéreo, cuando en realidad los intrusos digitales son atrapados (como fue éste el caso) en el espacio virtual.
Llamarlo hacker, dicho sea de paso y aunque es lo menos grave de esta historia, es bastante exagerado. En primer lugar porque la confusión entre hacker y delincuente informático es irritante. En segundo, porque cualquiera sea el significado que le asignemos a la palabra, este estudiante de ingeniería de la UADE no estuvo a la altura: hizo prácticamente todo mal. Tal vez por eso necesitó alterar las notas de sus exámenes.