Els 'hackers' dels Mossos no van tapar prou bé el seu rastre

BarcelonaEl ciberatac al Sindicat de Mossos d'Esquadra (SME), que va resultar en la filtració a internet de les dades personals -adreces de casa incloses- de 5.540 policies no va ser obra d'una sola persona. Segons els investigadors, el va fer un grup coordinat que sabia què es feia. Però afirmen que no els han atrapat perquè algú els hagi delatat, sinó perquè no van tapar prou bé el seu rastre a la xarxa. L'inspector i cap de l’àrea central d’investigació de persones, Jordi Domènech, ha explicat avui que els indicis que tenen indiquen que els detinguts d'ahir a Salamanca i a Barcelona, i un quart home que s'ha presentat avui a una comissaria, en són els responsables i van treballar conjuntament. Els Mossos encara han d'analitzar tot el material informàtic confiscat però per ara no preveuen més detencions.

"L'atac es va fer molt abans que no es reivindiqués", ha explicat Domènech. En una primera fase, entre el 28 d'abril i el 17 de maig, els 'hackers' van vulnerar la seguretat de la web del SME, van accedir a la base de dades del campus virtual i van aconseguir la informació dels policies afiliats. "Fins el dia 17 es fan diferents gestions relacionades amb l'atac", ha dit l'inspector; o sigui que l'acció es va gestar durant vint dies, pel cap baix. El 17 de maig a la nit, els autors de l'atac van prendre el control de la pàgina i del compte de Twitter del sindicat, van començar a publicar-hi la reivindicació de l'atac i van difondre les dades dels policies. El dia 19 es va publicar i difondre un vídeo que ensenyava com s'havia fet comès el ciberatac, simulant-ne les passes una per una.

"Son 'hackers', són bons i utilitzen la xarxa Tor i servidors 'proxy' -diferents sistemes perquè no es pugui saber des d'on es fa l'atac- però durant el procés cometen alguns errors que ens porten al domicili de Sants", ha assegurat l'inspector Domènech. Al pis de Sants van detenir-hi dues persones, un home de 31 anys i una dona de 35, tots dos enginyers; que ja han quedat en llibertat amb càrrecs. Van confiscar-hi ordinadors, servidors i d'altres aparells i s'hi van trobar algunes sorpreses: 'forfaits' de l'estació d'esquí de Grandvalira i aparells lectors de bandes magnètiques que haurien pogut arribar a servir per falsificar-los, i 51 comandaments a distància per a cotxe de l'empresa automobilística on treballen tots dos.

Com els han identificat

Quan els atacants van haver aconseguit la contrasenya d'algun usuari per accedir al campus virtual de l'SME van provar d'entrar-hi, però el sistema d'anonimització que feien servir, la xarxa Tor, fa circular les peticions de l'internauta per servidors situats a diferents llocs del món i la web dels Mossos bloquejava l'accés des de l'estranger. Per això, ha explicat Domènech, mentre preparaven el ciberatac van entrar a la base de dades a través d'un servidor 'proxy' o, fins i tot, sense emmascarar el seu rastre. Un cop al campus virtual del SME feien accions "estranyes" per a un usuari normal que van quedar registrades i que encaixen amb les que calia fer per cometre l'atac. A més, tot i que els servidors 'proxy' emmascaren l'adreça IP de l'internauta -el número que identifica cada punt de connexió-, els Mossos es van adreçar als responsables dels servidors per aconseguir-les. També van descobrir que la configuració (tipus de navegador, sistema operatiu específic basat en Linux, etc.) dels usuaris que feien peticions "estranyes" corresponia amb la dels que feien l'atac a través de Tor.

Tot aquest mecanisme va permetre que els agents de la unitat central de delictes informàtics lliguessin caps, ha explicat Domènech, i amb "una investigació purament tecnològica" i identifiquessin les adreces digitals, les IP, amb l'adreça del pis de Sants i la d'un altre domicili de Barcelona, on viuen els pares d'un home d'origen suís. També van descobrir que la parella de Sants havia estudiat la mateixa enginyeria i havia compartit assignatures amb l'home d'origen suís. Al suís d'entrada no el van poder arrestar perquè viatja sovint però avui s'ha presentat a la comissaria amb un advocat, on li han pres declaració. Després ha quedat lliure, però amb la condició d'investigat pel cas que coordina el jutjat d'instrucció número 33 de Barcelona. Segons els Mossos, alguns dels investigats també havien participat conjuntament en actes sobre 'hacktivisme'. Tots aquests vincles entre si fan difícil pensar que els responsables de l'atac fossin uns altres i utilitzessin les xarxes wifi dels arrestats per cometre l'atac.

Els detinguts són Phineas Fisher?

La policia no té clara la relació de tots quatre investigats amb l'autor o els autors dels atacs informàtics a les empreses de 'software' espia Hacking Team i Gamma Group. Aquests dos ciberatacs, el dels Mossos, i alguns altres s'han reivindicat des del mateix compte de Twitter -@GammaGroupPR, clausurat fa unes setmanes i ara en mans d'un altre usuari- i amb els mateixos pseudònims: Phineas Fisher i Hack Back. Per ara els Mossos d'Esquadra, que encara han d'analitzar tot el material informàtic confiscat, no tenen proves que cap dels quatre investigats estiguin implicats amb els atacs a Hacking Team i Gamma Group, però no descarten que les puguin trobar o que tots treballessin conjuntament, de manera coordinada. També podria ser que es tractés de 'hackers' que fessin accions aïllades i tan sols compartissin pseudònims, compte de Twitter, correu electrònic i clau de xifratge per reivindicar-les.

Des del correu electrònic vinculat als ciberatacs a Hacking Team, Gamma Group i els Mossos s'ha enviat un missatge a aquest diari que deixa clar que Phineas Fisher té intenció de desaparèixer: "Vaig esborrar els comptes de Twitter i Reddit perquè no me'n refio de líders, persones importants amb poder social. I vaig adonar-me que m'havia convertit en un d'ells", ha explicat en català. Ja fa unes quantes setmanes que va eliminar els dos comptes. I ha afegit: "si torno a 'hackejar' inventaré noms i comptes nous". No té perquè deixar d'actuar, doncs, però si no canvia d'opinió el pseudònim amb què ha aconseguit molt de ressò entre la comunitat 'hacker' està destinat a desaparèixer. L'antropòloga especialista en Anonymous Gabriella Coleman ja va explicar a aquest diari que veia possible que Phineas Fisher fos un pseudònim d'un grup especialment curós pel que fa a la seguretat.

No hi ha manera de saber, ara per ara, si Phineas Fisher és una sola persona, un grup coordinat o agents aïllats que comparteixen alguns mecanismes de difusió de les seves activitats. En alguns dels primers correus intercanviats amb aquest diari Fisher afirmava que no sabia català i en alguns dels últims explica que en sap perquè ha viscut a Catalunya. No es pot descartar del tot que tingui alguna mena de relació amb els detinguts. Sigui com sigui, tenint en compte les seves últimes declaracions, és previsible que es faci fonedís una temporada i intenti que, si encara no l'han caçat, no ho facin en un futur. L'autor dels ciberatacs a Hacking Team i Gamma Group no s'ha de preocupar només dels Mossos d'Esquadra.

Difusió de les dades personals

El detingut de Salamanca el van arrestar i alliberar ahir mateix per la redifusió de les dades personals dels Mossos, però els investigadors consideren que es va coordinar amb els altres per fer-ho. Domènech ha explicat que d'entrada els autors de l'atac van publicar les dades en un arxiu de text a Github.com, a les 23.02 del 17 de maig. El document el van retirar a les 2.30 però quan només feia mitja hora que estava publicat algú el va descarregar, el va transformar en un arxiu .csv i el va publicar al servei per compartir arxius Wetransfer. Els Mossos han arribat a la conclusió que qui ho va fer és la mateixa persona que després va difondre per Twitter i Quitter l'enllaç de Wetransfer, l'home de 33 anys que van arrestar ahir a Salamanca -i que havia viscut a Barcelona. El vinculen amb el grup d'atacants precisament perquè va fer tota aquesta sèrie d'accions molt poc temps després que es publiqués l'arxiu. Segons Domènech no va fer servir Tor ni cap sistema per protegir el seu rastre a internet.

Des d'aquell enllaç de Wetransfer, que va continuar 34 hores en línia fins que els Mossos el van poder fer retirar, l'arxiu es va descarregar 135 vegades. Després altra gent el va tornar a publicar a altres plataformes com ara Dropbox i Mega. Ara mateix els policies no saben quanta gent el té però cada vegada que el detecten publicat a internet lluiten per eliminar-lo. L'intendent portaveu dels Mossos, Xavier Porcuna, ha explicat que arran de la difusió de les dades alguns policies han rebut amenaces per missatge o per telèfon, però que "sortosament no hi ha hagut conseqüències a nivell personal", com a mínim per ara. El cos ofereix ajuda tecnològica i de seguretat als 5.540 afectats. El portaveu de l'SME, Toni Castejón, ha assegurat que aquest "ha sigut l'atac informàtic més important a un cos policial a nivell estatal" i ha ressaltat la gravetat del delicte en un context d'alerta antiterrorista de nivell 4.