Por FRANK BAJAK
LIMA / Agencia AP
Ahora el equipo que se hace llamar LulzSecPeru ha creado un escándalo político nacional.
Los correos electrónicos robados por los intrusos a la red del Consejo de Ministros Peruanos y divulgados en internet el mes pasado desataron acusaciones de que altos ministros del gabinete han actuado más como cabilderos industriales que como servidores públicos. Eso ayudó a precipitar una moción de censura la semana pasada a la que el gabinete apenas pudo sobrevivir.
Los piratas, que se describen a sí mismos como dos hombres jóvenes, integran una versión local y compacta del colectivo de intrusos cibernéticos LulzSec, con sede en Estados Unidos y Gran Bretaña, que agrupa a piratas conocidos como de «sombrero negro», los cuales violan la seguridad de las computadoras simplemente por superar un reto, o también para obtener ganancias personales.
El grupo LulzSec ha atacado los sistemas de la Iglesia de la Cienciología y ha hecho promoción en favor del movimiento Ocupemos Wall Street y de la filtración de documentos efectuada por WikiLeaks.
Gran parte del activismo de los piratas cibernéticos fuera de Estados Unidos y Europa occidental ha perdido fuerza o se ha visto obligado a operar en la clandestinidad después de enfrentar presión policial y arrestos, dijo Gabriella Coleman, antropóloga en la Universidad McGill, en Montreal, Canadá, quien ha estudiado el fenómeno.
«Sin embargo, los piratas informáticos en Latinoamérica nunca se detuvieron realmente», señaló Coleman.
De ellos, LulzSecPeru es considerado ampliamente como el equipo de piratas activistas más hábil y con más éxitos en la región, dijo Camilo Galdós, experto peruano en seguridad digital. Hasta ahora, su acto más notorio había sido secuestrar las cuentas en Twitter del presidente venezolano y del gobernante Partido Socialista Unido de Venezuela durante las elecciones en ese país el año pasado.
Sin embargo, nada de lo que habían hecho tuvo el impacto de la colocación en línea de los aproximadamente 3.500 correos electrónicos provenientes de la cuenta del entonces primer ministro René Cornejo, fechados de febrero a julio.
«Happy hunting!» (¡feliz cacería!) escribieron los piratas informáticos cuando colocaron el vínculo en internet para tener acceso a los correos.
La primera ministra que acababa de suceder a Cornejo, Ana Jara, dijo que algunos de los correos robados podrían haber tocado asuntos de «defensa nacional».
Pero lo que los reporteros hallaron en ellos fue evidencia de la influencia de los cabilderos de las industrias peruanas de la pesca y el petróleo, lo que generó una enorme presión sobre los ministros de Energía y de Finanzas.
En una de las misivas, una ejecutiva de la pesca le pregunta al ministro de Finanzas si podría ampliarse la temporada de extracción de la anchoveta. Posteriormente ve concedido su deseo.
El ministro de Energía, en un irritado intercambio de correos, resta importancia a las objeciones del ministro del Medio Ambiente en torno a sus cálidas relaciones con una compañía petrolera australiana con concesiones para extraer crudo del mar. Los técnicos de la industria petrolera —no los reguladores— son los mejor capacitados para determinar si se requieren estudios de impacto ambiental para las pruebas sísmicas de exploración, afirma el ministro de Energía.
Las revelaciones ayudaron a generar un voto de «no confianza» en el Congreso que se quedó a un sufragio de obligar a todo el gabinete a renunciar.
El espectáculo de los «CornejoLeaks», como los apodó la prensa, deleitó a los piratas informáticos.
«Nosotros estamos metidos en todo. No hay límites en el hacking (piratería informática)», alardeó uno de los dos, apodado Cyber-Rat (rata cibernética), en una charla cifrada con The Associated Press que le llegó a través de la cuenta de Twitter donde el equipo anuncia sus violaciones a sitios restringidos.
Cyber-Rat dijo tener 17 años y que dejará la piratería antes de convertirse en adulto con el fin de evitar ir a la cárcel. Se encarga del manejo en las redes sociales, cultiva la relación con los activistas del grupo Anonymous que ayudan a dar publicidad a los logros de LulzSecPeru y admite tener una tendencia «al narcisismo».
Su socio lleva el apodo de Desh501, dice tener entre 19 y 23 años y ser estudiante universitario.
Desh es el experto tecnológico, y es más reservado.
«Soy muy cerrado. No tengo amigos hackers (piratas informáticos) en persona, sólo virtualmente», escribe.
Ambos dicen ser autodidactas. Cyber-Rat indicó que comenzó a programar a los 8 años, mientras que Desh empezó a los 6.
Cyber-Rat mencionó que su labor de piratería «es una búsqueda del éxtasis de hacer algo sin precedentes», avergonzando a administradores que dicen que sus redes son a prueba de todo.
Desh dijo estar motivado por objeciones a «1. el abuso de poder», y «2. la falta de transparencia».
Es evidente que algunas de sus acciones están impulsadas por móviles políticos. Alteraron el cibersitio de la mina de cobre Antamina en 2012, ubicada en Perú, después de que una tubería de ese consorcio multinacional se rompió, lo que derivó en que enfermaran decenas de personas.
Y en febrero también alteraron el cibersitio del partido gobernante de Venezuela en respaldo de los manifestantes antigubernamentales, al cual ingresaron a través de una de las puertas traseras que dicen dejar secretamente en las redes que penetran.
Desh indicó que también retienen el acceso a la fuerza aérea chilena, de la que el mes pasado retiraron documentos delicados sobre compra de armas, los cuales colocaron en internet. Dijeron que se trataba de una represalia por el hecho de que Chile hubiera espiado a la fuerza aérea peruana en un caso que salió a la luz en 2009.
Los piratas cibernéticos, que proporcionaron como muestra de sus logros documentos que dijeron haber obtenido en una de sus intromisiones a cibersitios de Venezuela, dicen que ni se enriquecen ni hacen daño con sus proezas.
Pero muchos creen que LulzSecPeru sí hizo daño al ingresar a la red de la compañía que maneja el principal dominio de Perú. En octubre de 2012, el grupo colocó en internet una base de datos con miles de nombres, números telefónicos, direcciones de correo electrónico y contraseñas de sitios afectados, incluidos bancos, compañías de seguridad, el buscador Google… de todos los dominios que concluían con «.pe».
Desh dijo que Rat lo hizo sin consultarlo.
«Ese día casi lo mato», se quejó.
Erick Iriarte, un representante empresarial y destacado activista peruano de internet, dijo que dicha filtración ocurrió bastante antes de que esa información fuera colocada en línea —seis semanas antes, de acuerdo con Desh_, por lo que se les avisó a los clientes a tiempo para que modificaran sus contraseñas.
En toda Latinoamérica, los trabajadores estatales suelen considerar que las redes operadas por los gobiernos son inseguras y poco confiables. Un sorprendente número de altos funcionarios utilizan servicios privados de correo electrónico en lugar de dichas redes.
Las autoridades peruanas consideran a LulzSecPeru como un grupo de piratas cibernéticos y dicen que sus miembros podrían enfrentar hasta ocho años de cárcel bajo el nuevo estatuto de delitos cibernéticos de Perú.
Pero primero deben ser capturados, y expertos independientes de seguridad dicen que la capacidad técnica de la policía cibernética peruana está muy por debajo de la de ellos. La primera acción de LulzSecPeru que lo arrojó a la fama fue penetrar la red de dicha policía a principios de 2012. El grupo pirata dice que aún tiene acceso por una puerta trasera oculta.
El comandante de la unidad, coronel Carlos Salvatierra, no quiso entrar en detalles sobre la investigación a LulzSecPeru, pero dijo que incluye «coordinación permanente» con otros gobiernos afectados y comenzó hace meses.
El nombre LulzSec fusiona «lulz», una variante de LOL (siglas en inglés de riendo a carcajadas) que evoca en parte el deleite malicioso de los piratas cibernéticos que dejan expuestas las fallas de seguridad («sec»). Y no hay mayor «lulz» para el par que burlarse ante sus 30.300 seguidores en Twitter de Roberto Puyo, jefe de tecnología del Consejo de Ministros de Perú y presidente del capítulo peruano de la Asociación de Seguridad Informática Internacional, el grupo más importante del país en ciberseguridad.
Expertos de seguridad también han preguntado por qué el funcionario no se ha presentado en público para explicar cómo fue violada su red.
Desh dijo que lograr ingresar al sistema del gabinete le llevó un mes.
Indicó que posteriormente canalizó una copia exacta de todo el tránsito a un servidor externo durante casi un mes, proceso en el que también capturó la contraseña del correo electrónico de Cornejo. Dijo que la cuenta del ex primer ministro en Gmail estaba vinculada con la cuenta de correo oficial que Cornejo tenía, y que el intruso cibernético pudo penetrarla a través de un espejo de ella en la red.
Rat dijo que por ahora el grupo se mantiene alejado de la red del Consejo de Ministros, ya que ahora tiene «tarros de miel»; o sea, trampas diseñadas para capturarlos.
Ambos piratas dicen tener confianza en que hacen desaparecer sus huellas lo suficiente. Y señalan que no tientan al destino, por lo cual no atacan redes del gobierno estadounidense, ya que no quieren que el FBI los persiga.
«No me preocupo mucho», afirmó Desh. «Aunque tampoco elimino la opción de que me atrapen».
«Nadie es invencible», agregó.
Gran parte del activismo de los piratas cibernéticos fuera de Estados Unidos y Europa occidental ha perdido fuerza o se ha visto obligado a operar en la clandestinidad después de enfrentar presión policial y arrestos,
Gabriella Coleman
AntropólogaLa filtración ocurrió bastante antes de que esa información fuera colocada en línea —seis semanas antes, de acuerdo con Desh, por lo que se les avisó a los clientes a tiempo para que modificaran sus contraseñas.
Erick Iriarte
Activista peruano de internet
PROTEGER DATOS DE LA NUBE
La circulación de fotografías de famosas desnudas, que fueron robadas de sus cuentas en internet, hace dudar sobre la seguridad de almacenar información en la red en una especie de archivero digital conocido como «la nube».
Apple confirmó el martes que algunas cuentas de famosas fueron infringidas por un ataque dirigido a nombres de usuarios, contraseñas y preguntas de seguridad. Aunque la empresa asegura que no se infiltraron a ninguno de sus sistemas, como el servicio de almacenamiento iCloud, parece que los ciberpiratas lograron tener acceso a cuentas individuales simplemente inventando contraseñas y respuestas a las preguntas de seguridad.
Entonces, si la información de los famosos no está segura, ¿qué pasa con la de los demás? He aquí algunas respuestas sobre cómo se guarda la información en la nube:
P. ¿Qué es la nube?
R. La nube es una forma de almacenar fotos, documentos, correos electrónicos y otros datos en computadoras terceras, por lo que no se utiliza espacio en la laptop, teléfono y otros dispositivos. Empresas grandes como Amazon, Apple, Google y Microsoft ofrecen almacenamiento en la nube. También lo hacen otras más pequeñas, como Dropbox y Evernote.
La ventaja es que uno puede acceder a la misma información desde cualquier dispositivo. Y si perdemos el teléfono, por ejemplo, no perdemos con él las fotos de las vacaciones.
La desventaja es que al poner la información en otra parte, hay riesgo de que hackers ataquen esos sistemas y cuentas.
P. ¿Es seguro?
R. Se puede decir que sí. Las empresas invierten mucho para asegurar que la información privada de las personas permanezca así.
«La respuesta corta es que la nube muchas veces es más segura que cualquier otra forma de almacenamiento», dice Rich Mogull, director general de seguridad y asesoría en la firma Securosis.
Pero eso no significa que sea totalmente inmune. «Al igual que muchos servicios de internet, hay muchos atacantes que tienen mucho tiempo», señala Mogull.
P. ¿Cómo proteger mejor los datos?
R. Se necesitan contraseñas para ingresar a las cuentas, por eso es importante elegir una difícil.
Tim Bajarin, analista de la firma tecnológica Creative Strategies, recomienda tener diferentes contraseñas para cada cuenta en internet para que, en caso de alguna intromisión, un sistema no ponga en peligro al otro.
El experto también recomienda agregar un número y alguna puntuación, o escribir creativamente alguna palabra para que sea muy difícil de adivinar. Es mejor evitar las palabras comunes o las fechas de nacimiento en las contraseñas. También hay algunos servicios que ofrecen dos formas de identificación, como puede ser teclear un código enviado a nuestro número telefónico.
