Durante las últimas horas resurgió la polémica por las filtraciones de información sensible de datos bancarios, cuando este lunes el supuesto grupo de ciberdelincuentes “Shadow Brokers” liberó una nueva base de datos con información de casi 1.000 clientes de bancos.
Luego, la madrugada de este martes, publicaron lo que sería un listado de casi 13 mil nombres y correos electrónicos de trabajadores de Santander, a lo que esta tarde siguió un nuevo documento, pero esta vez con la información de más de 4.600 trabajadores de BBVA.
Los documentos vinieron desde una nueva cuenta muy similar a la que usaron anteriormente para filtrar datos de miles de clientes de bancos en Chile y América Latina, la cual fue eliminada por Twitter.
Al igual que en oportunidades anteriores, escriben de forma críptica usando términos informáticos difíciles de comprender (o de reconocer) por un lector no instruido en el área, usando palabras tanto en español como en inglés, y exigiendo la liberación de quienes serían agentes presos por los gobiernos de distintos países. Entre ellos, el supuestamente chileno “Mr. H”.
Esa es la historia que han estado contando, pero los expertos dudan seriamente de que realmente sean “hackers”, de la existencia de dichos agentes, de que se trate del mismo misterioso equipo que hackeó a la Agencia de Seguridad Nacional de Estados Unidos (NSA) e incluso sospechan que quienes se hacen llamar “Shadow Brokers” sea en realidad sólo una persona, y no un grupo.
¿Hackers?
El desarrollador de software independiente y miembro de la consultora Sigma 5, Carlos Oliva, es uno de los que dudan, comenzando por explicar qué es un hacker, ya que en el entorno “popular” tiene un significado muy distinto a su uso técnico.
El uso habitual de la palabra, resume Oliva, es el de “un ciberdelincuente que te roba las tarjetas y trabaja desde la oscuridad”, mientras que en el mundo informático es “alguien altamente habiloso en un área particular, no necesariamente informática propiamente tal. En ese sentido, puede haber hackers de la astronomía, mecánica, electrónica, etc”.
“Por lo general, son personas ingeniosas que están constantemente inventando y yendo más allá de lo normalmente conocido”.
En el caso de los mismos ciberdelincuentes, tienden a verse a sí mismos “como una suerte de justiciero social que trabaja desde las sombras”. Misma definición que mantendrían quienes apoyan sus acciones.
Pero, ¿qué delata que no son reales expertos en informática? Para Oliva, es que “de momento sólo han filtrado datos que, más allá de provocar un gran impacto mediático, no son prueba de ninguna habilidad de parte de ellos”.
Esto se evidenciaría tanto en las filtraciones anteriores como en la más recientes, por lo que sospecha que consiguió la información desde la misma fuente.
“Es cierto que manejan algunos aspectos técnicos como muestran en sus tweets, pero no hablamos de alguien experto, sino de alguien que puede estar un poco por encima del promedio en cuanto a conocimientos, lo cual logra un efecto relativamente intimidante” ante la opinión del público general.
El ingeniero en redes y experto en seguridad, Paulo Colomés, a través de su cuenta de Twitter, opinó de igual manera, criticando que “lo que estos niños postean son solo cosas incoherentes” y que “lo único que han hecho es filtrar algunas tarjetas de crédito, que son bastante sencillas de conseguir en la DeepWeb”.
“Es decir, no hay que ‘hackear’ nada, sino solamente pagar un par de Bitcoins por esos datos y listo”.
Asegura que “publican códigos y comandos y dicen palabras bacanes como ‘tcp tunnel’ o ‘scada’, pero en la práctica no significan nada. Esto es como un paso más allá de Antorcha no más”.
Misma opinión tiene el ingeniero experto en comercio electrónico, Javier Godoy, quien defiende que “no demuestran mucho conocimiento técnico de alguna metodología concreta, como tampoco han dado señales claras de lo que se supone que hicieron”.
“Carding”
De forma concreta, además de pagar en criptomonedas, hay otras formas en que los ciberdelincuentes podrían hacerse con esta información.
Javier Godoy teoriza que podría tratarse de alguien que habría tenido acceso a la base de datos de producción de un gran sitio web de, por ejemplo, un gigante del retail. Todos los mensajes posteados por la cuenta de Twitter de “Shadow Brokers”, le parecen “una cortina de humo para tapar la forma que usó para obtener los datos, dado que al no ser descubierto, la vulnerabilidad persiste y esta persona seguiría teniendo acceso a información crítica”.
En tanto, Carlos Oliva considera que, aunque la información filtrada no causa tanto daño como el que parece, “sí lograron dejar en evidencia lo precario del sistema bancario y de pagos en general”.
Más allá del “ruido mediático”, sin embargo, no habrían tenido el efecto “apocalíptico” que se ve en algunas series y películas en escenarios similares.
Además, “en el mismo tweet donde filtraron los datos de tarjetas mencionan y hacen referencia al Banco de Chile, pero finalmente se comprobó que no fue ese el origen de la filtración ni que tuvo relación con la anterior intrusión que sufrió”.
En esta línea, el blog especializado Blackploit propuso que éste sería un caso claro de “carding”, explicando que esto no es más que el “tráfico de tarjetas de crédito, cuentas bancarias y otra información personal en línea, así como los servicios relacionados con el fraude”, así como “la adquisición de detalles personales, y técnicas de lavado de dinero”.
La forma más común de conseguir esta información, explican, es “generando número de tarjetas de créditos válidas de forma semiautomática a partir de secuencias conocidas”. Es decir, tomar un fragmento de un código de seguridad e inventando la parte faltante.
Los “legendarios” Shadow Brokers
Además de todo esto, ni siquiera se trataría de la versión “original” del grupo “Shadow Brokers”, quienes se hicieron conocidos por vulnerar a la NSA estadounidense.
Carlos Oliva defiende que sólo intentan “colgarse de su fama” sin tener ninguna relación con ellos.
“Lo indican todas las evidencias: hacen referencias demasiado locales (Banco de Chile, Poder Judicial, PDI) mientras que el grupo ‘original’ se adjudió un ataque a nada menos que la NSA”.
Por otro lado, argumenta su nivel de inglés en muchos de sus tweets. “Dejan bastante que desear, se leen como Tarzan”. Con sus mensajes más recientes quedó aún más convencido oliva de que el usuario es chileno.
Paulo Colomés y Javier Godoy concuerdan con estas afirmaciones.
Colomés incluso apunta a que publican en el mismo huso horario de Chile y que, si uno les habla con jerga chilena, contestan, pero en inglés. “Es decir, entienden”.
Godoy agrega que desde el primer día le pareció extraño que “el trabajo fue poco prolijo, pero con mucho autobombo. Me asombró que ni siquiera supiera lo que había publicado, ya que se mostró vendiendo cuentas del Banco de Chile y resultó estar entregando tarjetas hasta del Líder, por una suma inimaginariamente riesgosa para el tipo de información”.
Con esto último, se refiere a que el precio exigido por el supuesto grupo rondaría los $960 millones de pesos lo que, a su juicio, es “un riesgo estúpido”.
“Nadie sensato se arriesgaría a pagar tanta plata por algo que puede ser una estafa mayúscula, sobre la cual no se puede reclamar si es que algo sale mal (al ser algo ilícito que como mínimo puede ser comparable con receptación)”, dice Godoy. Todo esto, asegura, “es muy básico para una organización que se metió en el núcleo de la NSA”.
Entonces, ¿quienes son?
En resumen, Carlos Oliva deduce que no son personas con reales habilidades ni poder, y que no están “en control” de información o sistemas “con lo que debiésemos sentirnos incómodos”.
Podría ser, por ejemplo, alguien que trabaja en alguna empresa u entidad con acceso a grandes bases de datos, que las haya filtrado a propósito, o que hayan descubierto una vulnerabilidad en alguno de los sistemas de estas entidades.
En caso de que sea una real vulneración, sin embargo, estima que ocurrió hace tiempo, ya que muchas de las tarjetas estaban expiradas. Mismo caso con los datos de los empleados de Santander y BBVA.
Revisando una a una las publicaciones en las cuentas de los ciberdelincuentes, Javier Godoy analiza que se trata de una persona natural y chilena, ya que todos sus objetivos son locales, y no de un grupo de “hackers”. Además, se centra en mencionar a TVN y tendría una “alta fijación” con el Banco de Chile.
Como ejemplo concreto, apunta a que mientras el usuario escribe en el idioma extranjero, usa la sigla “BD” para “base de datos” cuando en dicha lengua la expresión correcta sería al revés: “DB” (por el inglés database).
Respecto de todo esto, por su parte, Paulo Colomés concluye que “tal vez no son varias personas. Es chileno y es abiertamente un delincuente y lo que publican dista años luz de lo que un grupo real de hackers haría o diría en realidad si tuviese las herramientas que dicen tener”.
Finalmente, agrega que, para pesar de muchos, los Shadow Brokers “no les van a borrar las deudas, el CAE ni el Dicom a nadie. Así es que no los miren como unos dioses a quienes hay que elevarles plegarias, véanlos como lo que son: un ñoño con mucho tiempo en un computador que juega a ser hacker y que hasta la televisión le cree, pero que sólo copia y pega”.
BioBioChile intentó contactarse con el usuario que publicó las filtraciones, sin embargo recibimos un escueto “hola, ¿que tal tu día?” como respuesta.
