5 de febrero de 2014

La 'Operación Andrómeda' y sus efectos en la Comunidad de Hacking ...


ADVERTENCIA: Para leer este post se requiere paciencia, criterio y debe comprometerse a leerlo hasta el final ;)

Asumo que el lector ya está enterad@ de la noticia 'revelada' por la Revista Semana el pasado 04 de Febrero, titulada "¿Alguien espió a los negociadores de La Habana?", en la que un@ o vari@s periodistas (anónimos - sólo está titulado como "Investigación"), basados en el relato de aparentemente (al menos) cuatro de los integrantes de dicha operación (denominada 'Andrómeda').

Es importante recalcar desde este momento, que no tengo ni he tenido información directa ni indirecta de esta operación de inteligencia, más que lo que han difundido los medios y lo que yo mismo averigué por mi cuenta en Internet durante el día siguiente a la publicación del articulo en la Revista Semana. Igualmente, no tengo conocimiento de ninguna persona que haya participado en la misma.

Lamentablemente l@s periodist@s no nos presentan ninguna prueba firme (un documento impreso, una declaración/fuente con nombre propio, etc.), lo que deja varios espacios en blanco, que en algunos casos son rellenados en el artículo por medio de la especulación. Sobre este tema en particular, surgen las siguientes inquietudes:

1) Qué tiene de malo/ilegal/irregular esta operación dentro de un marco de inteligencia ?
2) Quién ordenó la operación 'Andrómeda' ? Quién es responsable ?
3) Cuál era el objetivo de esta operación, qué tareas cumplían y qué capacidades tenían los militares que hacían parte de esta operación ?
4) A quién "espiaban" ?
5) Porqué se "cayó/quemó" esta operación, y apareció en la Revista Semana ?
6) Quién gana con esta "revelación" de la Revista Semana ?

La parte más grave del artículo, y la causante de hacerme decidir a escribir este post, es la relacionada con l@s hackers, las Comunidades de Hacking y la Comunidad de Seguridad Informática de nuestro país y su relación con esta 'Operación Andrómeda'. Sobre este tema en particular, surgen las siguientes inquietudes:

7) Qué relación existió entre los militares de la 'Operación Andrómeda' y l@s hackers, las Comunidades de Hacking y la Comunidad de Seguridad Informática de Colombia ?
8) Qué tiene de malo/ilegal/irregular esta relación entre civiles y militares ?
9) Qué sigue ahora para las comunidades, hackers y profesionales colombianos ?
10) Qué sigue ahora para los colombianos en general ?

Este post buscará dar algunas respuestas a estas inquietudes, basado en mi experiencia en temas de Hacking y Seguridad Informática, en mis experiencias de vida profesional como Consultor de Seguridad Informática y en mi limitada experiencia en procedimientos de Inteligencia (civil y militar), con la menor especulación posible, y de la manera más imparcial. Para quien no me conozca, esas experiencias son la reunión de casi diecinueve años, desarrollando las actividades antes mencionadas, tanto en Colombia, como en el exterior.


1) Qué tiene de malo/ilegal/irregular esta operación dentro de un marco de Inteligencia ?
Por chocante que pueda parecer, no hay nada de malo en la operación en sí, ya que la labor de las unidades de inteligencia (en todas las fuerzas armadas y las policías del mundo - tanto en EE.UU como en Cuba, Irán o Corea del Norte), es identificar amenazas por todos los medios posibles (dentro de un marco legal, que protege a la población civil del mismo país, y que es donde la NSA en EE.UU. está teniendo problemas por incumplir estas premisas).
Aparte de la población civil (del mismo país), cualquier objetivo que pueda convertirse en una amenaza para el Estado o su población, son "blancos legítimos". El día de mañana, cuando esté en el poder alguien que la mayoría de la población no acepte (como le pasó a nuestros vecinos del Este), o nos ataque otro país (poco probable hoy en día), o pase cualquier catástrofe política/militar, todo el mundo va a decir "Y dónde estaba la inteligencia ? Qué estaban haciendo, que no se dieron cuenta ???" ... Bueno, estaban en operaciones como ésta, tratando de evitar daños al país (bien orientados, o mal orientados, donde debían estar, o "en Davivienda", no sé ... pero estaban trabajando en eso, y la Constitución lo prevé ...). Conclusión: La operación de inteligencia militar, es legítima.


2) Quién ordenó la operación 'Andrómeda' ? Quién es responsable ?
Es claro que la operación si existió de alguna manera, y esto se hace evidente cuando aparece la noticia de la Revista Semana e inmediatamente comienzan a desaparecer sistemáticamente las páginas, cuentas de Twitter, blogs y demás, de los sujetos relacionados con la operación. La operación física (local, computadores, avisos, etc.) ya habían desaparecido hace unos días.
Basado en lo contado por la Revista Semana, y en lo observado en fotos y videos liberados por los mismos militares de la operación en sus cuentas de redes sociales, esta operación contó con presupuesto para:

- Arriendo de una casa por más de 18 meses:
(Fuente: Google Maps - Sept/2012)
(Fuente: Redes Sociales de la operación - FB y Twitter)

- Compra o alquiler de veintiséis (26) computadores, TVs y consolas de videojuegos:

(Fuente: Redes Sociales de la operación - FB y Twitter)

- Pago mensual de dos guardias privados de vigilancia
- Compra o alquiler de varias cámaras de vigilancia
- Contratación de DJ para concierto de inauguración del sitio:

(Fuente: Redes Sociales de la operación - FB y Twitter)

- Presencia en diferentes eventos de comunidades de seguridad:

(Fuente: Redes Sociales de la operación - FB y Twitter)

- Camisetas, pancartas, afiches, stickers, etc.
(Fuente: Redes Sociales de la operación - FB y Twitter)

En fin ... Llevo haciendo comunidad mucho tiempo para saber de memoria que siempre que se hace un esfuerzo de estos, desde la comunidad, siempre falta el dinero ... Acá no faltó, yo diría que se veía de lejos que sobraba.

Aunque para mí es evidente que esta operación estaba manejada por Ejército, sin pruebas irrefutables esto sería una especulación, así que simplemente dejémos la hipótesis abierta, y digamos que simplemente era una unidad de inteligencia, de alguna de las Fuerzas Militares.

Es inconcebible que una operación militar de esta magnitud, con este presupuesto y personal, sea tan sólo el capricho de un Capitán (al mando de la operación en el sitio, como menciona el artículo), o que sea algo manejado/conocido por pocas personas. No me atrevo a especular hasta de qué tan alto debió venir la orden y manejo de esta operación, pero si tenía que venir de muy muy arriba (sino, del mismo tope de la cadena de mando).


3) Cuál era el objetivo de esta operación, qué tareas cumplían y qué capacidades tenían los militares que hacían parte de esta operación ?
Basado en las limitadas capacidades que los organismos de inteligencia manejan en Colombia, muy seguramente el objetivo era la recolección de información de inteligencia, originada en la interceptación de correos electrónicos, principalmente, y en algunos casos, de manera muy rudimentaria, en la instalación de troyanos (o malware en general) en equipos remotos (de cómputo y/o móviles). Como diríamos en el medio, pura "Operación Tarjeta Gusanito" (que sigue siendo un arma valiosa para elllos, debido al desconocimiento y falta de cultura de seguridad de algunos de sus objetivos).


4)  A quién "espiaban" ?
La respuesta a esta pregunta depende de quien ordenó la ejecución de la operación y qué considera esa persona o grupo una "amenaza para la soberanía nacional". A mi parecer, esta operación podría estar interceptando información de cualquier persona por igual (Santistas, Uribistas, Marcha Patriótica, terroristas, etc.), pero probablemente nunca lo sabremos. Semana indica unos objetivos definidos (negociadores en La Habana, Piedad Córdoba, etc., pero en el artículo no hay sustentación a esta aseveración, más que unas fuentes anónimas, no corroborables).


5) Porqué se "cayó/quemó" esta operación, y apareció en la Revista Semana ?
Los rumores en el bajo mundo indican que la operación fue "delatada" a la Fiscalía por un tercero, hace varios meses. El tiempo lo dirá ...

Sin embargo, las fallas operacionales de este equipo de inteligencia fueron evidentes, y por ahí también pudieron haber comprometido la operación:

- Las cuentas de Twitter a las que tuve acceso, pertenecientes a los militares que participaron en la operación, se crearon o iniciaron actividades reales en las mismas fechas:
- Crearon perfiles en redes sociales, irresponsablemente, con información real y fotos de sus familiares (incluyendo menores de edad)




-  Mezclaron en el mismo sitio de la operación, personal encubierto y personal uniformado (ese no es un jugador de PaintBall, en uniforme de uso privativo de las FF.AA.):

Conclusión: A esa operación le faltó bastante ... inteligencia.


6) Quién gana con esta "revelación" de la Revista Semana ?
Como lo dije anteriormente, nadie sabe a ciencia cierta quién fue el que ordenó la operación, aunque podemos predecir que es alguien en el gobierno, o alguien con acceso directo a los altos mandos militares. Lo que si podemos saber es que la real ganancia es para los medios, que aprovecharán esta noticia para polarizar más al país, echándole la culpa al que más les convenga (santistas, izquierda, uribistas, etc.), ya que cualquiera puede haber sido, y cada bando puede utilizar la "noticia" a su acomodo.
Igualmente, los medios aprovecharán esta increíble oportunidad (papayazo?) para seguir estigmatizando a los hackers y a sus actividades, para además de plasmarles las ya consabidas denotaciones de "delincuentes informáticos", poderles tachar de individuos con intereses políticos, o vendidos al mejor postor.
Un hacker puro no tiene intereses políticos, ni financieros, en su interés por conocer más del universo que lo rodea (puede que en su vida personal sí). Seguramente habrá hackers con éticas variadas, que se presten para cometer delitos, o que se presten para usar su conocimiento contra el que sea (derecha, izquierda, centro, etc.) a cambio de dinero o fama, pero esos no somos todos. Esos ni siquiera son una parte mínima de la gran comunidad mundial de seguridad y de hacking a la que pertenece el término 'hacker'.
Ruego, por enésima vez, en particular a los periodistas, que llamen las cosas por su nombre: hay "espías", hay "delincuentes informáticos", o si quieren sonar más 'modernos' y vender más, pueden hasta inventarse nuevos términos como "mercenario informático" o "comando anfibio teconológico", no sé ... pero no usen el término "hacker", y no relacionen nuestras actividades de hacking, con estos personajes de proceder delictivo.
Hasta el momento me ha gustado el artículo que publicó la Revista ENTER por su parcialidad y objetividad, y la actitud que ha mostrado Red+Noticias en las charlas que hemos tenido sobre el tema, buscando la verdad, sin intereses ni tintes políticos (hasta donde hemos interactuado)


7) Qué relación existió entre los militares de la 'Operación Andrómeda' y l@s hackers, las Comunidades de Hacking y la Comunidad de Seguridad Informática de Colombia ?
Como dije anteriormente, la operación de inteligencia militar como tal, hasta donde hemos hablado, es legítima, de pronto mal enfocada, o mal dirigida, o mal ejecutada, no lo sé ... pero legítima.
El gran pecado, que reprocho, es que aparte de los ya mencionados objetivos, esta operación se hizo pasar, no por hackers (porque su conocimiento era mínimo, según me cuentan) sino por un sitio abierto de colaboración y aprendizaje, usado para reclutar (y espiar?) a elementos valiosos de la comunidad de hacking nacional. Este sitio es el llamado Buggly, que se trató de posicionar infructuosamente como una "comunidad de ethical hacking" para mezclar personal de inteligencia militar dentro de la comunidades de hacking nacional (infiltrar).
Varias veces fui invitado a eventos y conferencias por estos individuos, en este sitio. Aunque acostumbraba asistir a la mayoría de esfuerzos de comunidad y presentar mis charlas en algunos de ellos, corrí con la suerte de estar viviendo fuera de Bogotá para esas fechas, y nunca los visité, ni tuvimos ningún contacto fuera de las mencionadas invitaciones, por Twitter.
No tan buena suerte corrieron muchos conocidos, amigos y grandes amigos, que si pasaron una o varias veces por el recinto de Buggly, para realizar sus propias actividades, y/o para desarrollar conocimiento de forma compartida. Conocimiento del que Buggly (y las FF.MM.) querían estar al tanto, y aprender, seguramente. Esto es espionaje sobre personal civil, no relacionado con objetivos militares, y es ilegal.
Sé que existe gente en la comunidad nacional que sabía quiénes eran estas personas, y por intereses comerciales, los apoyaron y aparentemente acompañaron el proceso desde afuera. Sus razones tendrán.
No tengo información de gente que haya sido exitosamente reclutada por Buggly, y si lo fueron, estoy seguro de que no era gente con mucho más conocimiento que los mismos "dueños" de Buggly.

El mismo día del artículo se supo que hasta el Partido Pirata Colombiano realizó reuniones en las instalaciones de Buggly:

Qué podrán decir los medios al respecto: Que este partido era parte de la operación ? Qué las fuerzas militares los estaban espiando en Buggly con fines políticos ? No sé, cualquier cosa puede tomarse de ahí ...


8) Qué tiene de malo/ilegal/irregular esta relación entre civiles y militares ?
En un ámbito normal de actividad comercial, no debería haber ningún problema. Es conocido que las Fuerzas Militares y de Policía han contratado servicios de mucha gente en las comunidades para capacitaciones a miembros de sus organismos de inteligencia, desde hace mucho tiempo.
Pero, en un ámbito de ejecución de actividades propias de inteligencia, es inaceptable que un civil sea utilizado. Cualquiera de los elementos de nuestras comunidades que se preste para la ejecución de una operación de inteligencia es igual de culpable que quien realiza espionaje, o cuaqluier delito informático.
Nuestra función en el ámbito militar (así como en el comercial) es prestar asesoría y capacitación únicamente, y el Cliente es quien debe tratar (con lo que aprendió o no aprendió) de ver qué puede hacer, en el caso de conocimiento "táctico".


9) Qué sigue ahora para las comunidades, hackers y profesionales colombianos ?
Es importante que las comunidades entendamos claramente nuestra función en la sociedad, y dejemos de seguir los patrones típicos de los adolescentes que se vuelven "hackers" de la noche a la mañana, que es lo que pone a nuestras comunidades a la vista y alcance de quien nos necesita para hacer sus trabajos sucios (inteligencia mal enfocada, delincuentes, mafias, políticos, etc.). Si no entendieron lo de los ' patrones típicos de los adolescentes que se vuelven "hackers" de la noche a la mañana', les dejo algunos ejemplos reales:

- Defacers con el último 0-day de Joomla/Wordpress/Drupal/etc. (php-warriors)
- Blogueros copiadores/pegadores de las noticias mundiales de InfoSec
- Expositores de charlas de hackers de fuera del país (translate & paste)
- etc.
Si el lector se identifican con alguna de estas categorías, no juzgo su proceder, pero si pieno que algo debe replantearse, si de verdad quiere ser considerado 'hacker' por la comunidad.

La única forma de que la comunidad de hacking crezca es desarrollando conocimiento NUEVO, no reencauchando. Esa es nuestra función en la sociedad: aprender, entender y crear.
Siempre va a aparecer alguien (militar, civil, delincuente, etc.) que querrá aprender rápido (pagando, o a cambio de cualquier cosa). De la ética de cada uno dependerá qué camino toma ...
A los que pudieran haber caído como sospechosos en esta Operación 'Andrómeda' por haber visitado Buggly, o haber participado en alguna actividad realizada allí, seguramente la Fiscalia les echará una mirada, y si no participaron en ninguna actividad de inteligencia, nada más debería pasar. Aprender la lección y no volver a dar papaya ...


10) Qué sigue ahora para los colombianos en general ?
Esperar que la Fiscalía (ojalá actuando justamente) algún día encuentre respuestas. La verdad no lo creo ... Creo que esta noticia, luego de lograr el objetivo mediático que sea que tenga, desaparecerá de los medios y no se va a volver a saber nada más de ella.

Para cerrar quiero decir que especulando, como l@s periodist@s investigativos de la Revista Semana, tengo mi propia teoría de quien pudo haber orquestrado la operación, su modus operandi, su caída, etc., y mi propia opinión (no fundamentada) para responder a cada una de las preguntas antes atendidas, pero esas sólo las tengo para mí, e intenté no afectar nada en este post con mis opiniones personales o con suposiciones sin pruebas. Si alguien desea discutir hipótesis, todo es bienvenido, pero este no es el lugar (No, Twitter tampoco es el lugar ;)  ).

Los comentarios a este post serán filtrados, únicamente basados en que quien comente debe usar un nombre e email reales, y que se haga responsable por lo que comente. Los comentarios que se coloquen de forma anónima serán eliminados.



F4Lc0N
Twitter: @falcon_lownoise
E-mail: falcon ^at^ lownoisehg {dot} org
LowNoise Hacking Group
Colombia



NOTA DE PRIVACIDAD: Aunque todo el material presentado se obtuvo de medios públicos y fue publicado por sus autores de manera libre, se intentó proteger las identidades de tod@s los implicad@s. Si hay algún dato adicional que se desee proteger, favor comunicarse conmigo para corregirlo.