Ola de ‘hackers’

Cuando los investigadores de delitos informáticos de la Dijín sorprendieron con las manos en la masa al joven que 'hackeó' la cuenta de Twitter de Daniel Samper Ospina, uno de ellos lo miró a los ojos y le dijo: "¿Si vio que no éramos tan tontos?". Esa frase tenía un cierto tono de revancha, pues ese mismo hacker, que ahora aceptaba sumiso que le pusieran las esposas en la sala de su casa, apenas unas horas antes se había mofado de la Policía colombiana. "En otra nación creo que el FBI ya estaría tocando la puerta", había trinado antes desde la popular cuenta de Twitter del director de la revista SoHo que él tenía secuestrada.

Lo que no sabía Johan Cubillos, universitario de 23 años, quien se enmascaró con el nombre de Sophie Germain para ocultar su identidad durante el asalto en la red, es que para el momento en que escribía esas líneas la Policía ya lo tenía ubicado. Johan lanzó el ataque a las dos de la mañana del viernes y tomó el control de las cuentas que Samper tiene en Hotmail, Gmail, Twitter y Facebook. Sophie comenzó a difundir a través de la cuenta de Twitter robada todo tipo de correos de Samper, información personal e incluso una lista de 12.000 contactos con números telefónicos. No se dio cuenta de que ese pavoneo -que sacudió ese viernes a los cerca de 135.000 seguidores del periodista- fue su perdición. No solo dio pistas importantes para capturarlo, sino que con el despliegue público de información privada agravó el delito del cual se le está acusando.

A las 12:40 del mismo viernes, Samper puso la denuncia; a la 1:30 de la tarde, los agentes especializados ya habían recuperado su cuenta de correo y estuvieron a punto de ganar un forcejeo en la red con el hacker para recuperar el Twitter y el Facebook. El lunes festivo, tras un meticuloso trabajo de investigación, la Policía allanó la casa de Johan, en Kennedy, en el occidente de Bogotá, y lo capturó. Cuando el muchacho, con corte de pelo y cara de niño juicioso, cayó en la cuenta de lo ocurrido, se desencajó y dijo: "Yo sé por qué vienen ustedes". A su papá, un operario de un almacén fotográfico de cadena, y a su mamá, un ama de casa, les cayó como un balde de agua fría. Y lloraron. Johan estaba en último semestre de Ingeniería Mecánica en la Universidad Nacional.

La Policía cerró así una de las operaciones más rápidas en el mundo en la captura de un hacker. De paso, al parecer resolvió también las denuncias del alcalde suspendido de Bogotá, Samuel Moreno, y de su hermano, el senador Iván, que habían pedido investigar el asalto a sus cuentas de internet. Johan también los habría

'hackeado' a ellos, según deja entrever en un chat con una amiga. Y en varios listados, que encontraron en hojas sueltas, también había burlado la seguridad de la cuenta del ministro Germán Vargas Lleras y de personajes de la farándula como Isabela Santo Domingo y Carolina Sabino, según él mismo alardeó en Twitter. También intentaba hacerlo con las cuentas del expresidente Álvaro Uribe, pues, entre otras, tenía un estudio completo de su lista de contactos.

En su habitación, los policías encontraron libros de hackers (la versión rosa de los piratas de la red), crackers (los que rompen los códigos de seguridad y tienen connotaciones criminales) y un manual de Anonymous, el grupo que ha disparado las alarmas este año en todo el mundo. Apuntes tomados en una libreta cuadriculada con listas de personas que dicen "robados importantes", "por robar" y "robados sin importancia". En su computador tenía tres discos duros de 200 gigas cada uno, es decir, 600 gigas, y varios de los programas más populares para romper contraseñas. Para los hackers, mientras más equipo se tenga, más poder tienen para el sabotaje.

Johan está hoy en la Cárcel Distrital pendiente de la investigación que le sigue la Fiscalía por violación de datos y acceso abusivo a sistemas informáticos. Esos

delitos dan de cuatro a 13 años de cárcel, sin contar que son agravados cuando se publica la información. En la audiencia, la juez de garantías dijo que él era "un peligro para la sociedad" y por eso ordenó su detención. En algún momento, visiblemente arrepentido, le dijo al mayor Fredy Bautista García, el jefe del grupo de investigaciones tecnológicas de la Dijín: "Si salgo de esta, yo les ayudo".

¿Qué pretendía Johan? ¿Es un fanático de las matemáticas experimentando con ese atractivo juguete? ¿O un joven que está definiendo su camino y descubre un arma poderosa? ¿En realidad es un peligro para la sociedad?

El fantasma de Anonymous

Lo cierto es que es la primera vez que se da un caso como estos en Colombia. Lo más parecido tal vez es la detención hace dos años de Nicolás Castro, el también estudiante universitario que creó en Facebook un grupo que prometía matar al hijo del presidente. Hace un mes, la Fiscalía pidió una condena de seis a 13 años para él. Sin embargo, Castro, a diferencia de Cubillos, no 'hackeó'.

El caso de Johan Cubillos es una alerta que se enciende en Colombia sobre el renovado fenómeno de los hackers que, como un fantasma, está haciendo estragos por estos días en el mundo. El grueso de los ataques más sonados ha ocurrido en el transcurso de este año. En mayo pasado, los hackers le rompieron las defensas al contratista de guerra más grande del planeta, Lockheed Martin. A poderosas firmas como Sony, Google, Mastercard y Visa, intrusos de la red sabotearon sus bases de datos y les robaron información crítica de sus clientes. Ni siquiera se han salvado de ser atacados gigantes como el Fondo Monetario Internacional, la CIA o el Senado de Estados Unidos.

El mundo está perplejo tratando de entender el nuevo fenómeno. Hay quienes consideran que es una amenaza y hablan incluso de ciberguerra. Mientras que otros creen que está sobreestimado. "El impacto ha sido proporcional a la difusión que se le ha dado", dice un experimentado investigador de la Policía.

No obstante, lo que nadie puede negar es que ha llegado una nueva generación de hackers: ya no los mueve el dinero, sino una causa. Ya no son cibercriminales, sino rebeldes en línea.

La aparición de dos grupos

-Anonymous y Lulz Security- tiene a las Policías del mundo echando cabeza. El primero de ellos se presentó en sociedad a finales del año pasado y se ha esparcido por el mundo a la velocidad de un clic. Mientras la facción de Anonymous España ataca a una empresa de telefonía celular, en Chile puede estar apoyando la protesta para exigir una educación con más garantías y en Colombia ejecuta una operación contra un ministerio. A veces las facciones se unen en una misma operación, para que el objetivo (un portal web) caiga rápidamente.

Funciona como una franquicia de uso libre. Los videos en YouTube, que lo promocionan en cada región del mundo, parecen producidos por una misma casa matriz: con la misma máscara de V, de la película V de Vendetta, y con la voz distorsionada.

Anonymous ha dejado en claro que no es un grupo violento. Su espíritu es la protesta. La red se convirtió en la mejor plataforma para expresar el descontento acumulado. Así como en la vida real se hacen multitudinarias marchas -que también pueden terminar en pedreas, quema de carros y hasta muertos-, en la red se bloquean sitios de internet temporalmente con el propósito de fastidiar. ¿Hasta dónde pueden llegar? Es la pregunta que aún no tiene respuesta.

La técnica más usada para el sabotaje es el Ddos (Distributed Denial of Service o denegación de archivos): se lanzan miles de visitas a la página blanco desde miles de computadores o por medio de un programa que las multiplica hasta que el servidor no resiste y la página se cae.

Aunque la primera aparición de Anonymous se dio en 2008 contra la Iglesia de la Cienciología, el ataque que la puso en titulares de prensa en todo el mundo se produjo en diciembre pasado, cuando el grupo entró en defensa de Julian Assange, fundador de WikiLeaks, y atacó los sitios de Visa, Mastercard y PayPal, que le cerraron el flujo de dinero a la fundación. Los portales cayeron días después y reportaron, tímidamente, millonarias pérdidas. La arremetida obligó a PayPal, un sistema de pago por internet, a devolverle a Assange el manejo de fondos.

La indignación generalizada es el combustible para crear blancos y ataques. Se volvió a saber de Anonymous por las revueltas en Túnez a principios de 2011, fecha en la que tambaleaba el gobierno (de 23 años) de Zine el Abidine Ben Ali. Cuando un joven se inmoló en forma de protesta, el grupo de 'hacktivistas' se unió al motín y tumbó una a una las páginas oficiales del gobierno.

Y desde entonces no ha parado. El grupo se ha constituido en el último año en un fenómeno casi revolucionario en la red. Como diría un analista en The Guardian, "Anonymous no es un grupo, sino una horda en estampida".

Un activista explica que "hay ausencia total de líderes y cabezas visibles" y que su lucha es "la defensa incondicional de la libertad en Internet. La lucha contra la corrupción en los gobiernos o en cualquier estructura de poder". Según ellos, todos pueden ser Anonymous, porque cualquier persona desde un computador o celular con conexión a internet puede visitar una página Low Orbit Ion Cannon (LOIC), que multiplica las visitas hasta sobrecargar el sitio, y así ser parte del "ataque". ¿Quién planea los objetivos y las fechas de ataque? Al menos en el caso de Colombia, la cuenta en Twitter '@Anonymous_Co' se encarga de promocionar e invitar al ataque.

En Colombia empezaron en abril de este año con el Ministerio del Interior y de Justicia, el Senado y la Presidencia, por la ley de derechos de autor en internet, la famosa Ley Lleras, la cual propone penas por reproducir o usar información en la red sin permiso del autor, una medida que no fue bien recibida en las redes sociales.

En cuanto al otro grupo, Lulz Security, ha provocado estragos más focalizados. Le ha declarado la guerra a Sony y desde mayo ha lanzado seis ataques a sus sistemas, toma datos de nombres, direcciones de e-mail, domicilios y fechas de nacimiento de miles de personas, así como códigos y otros datos necesarios para crear juegos. La razón que disparó la furia fue que Sony demandó a un hacker que descifró el código para piratear programas de una de las consolas de videojuegos más populares, PlayStation 3. Tras uno de los robos de datos de cerca de cien jugadores en línea, en abril, Sony cerró el sitio blanco de los ataques durante un mes y eso le costó 170 millones de dólares y pérdida de confianza de sus clientes.

Como decía el diario The Wall Street Journal -refiriéndose al los ataques cibernéticos a Nasdaq-, hasta el momento los piratas cibernéticos parecen estar solo dando una ojeada. ¿Pero qué puede ocurrir cuando usen la información del sitio? "Imaginen el caos que se produciría si alguien 'hackeara' Nasdaq y cambiara los precios de las acciones", se preguntaba.

Los hackers están caminando sobre la delgada línea que separa la legalidad de la ilegalidad. Johan Cubillos tal vez pensó que era una travesura, un desafío a su mente de matemático, sabotear las cuentas de Daniel Samper. Se dejó llevar por la curiosidad y todo indica que cometió dos delitos. Algo parecido puede pasar en el resto del mundo. Lo que por ahora parece ser una ola de buenas intenciones y de protestas transparentes por unas causas nobles, nadie garantiza que no pueda pasarse de la raya.