viernes, 14 de junio de 2013

Un hacker crea un programa para rastrear webs ocultas en Tor

La red esconde tramas ilegales como la pedofilia, venta de armas o tráfico de drogas difícilmente localizables por la Policía


El hacker le ha costado la detención tras sus implicaciones en la búsqueda de redes de pederastia

«Yo odio a los pedófilos y lo único que quería era ayudar a desmantelar este tipo de páginas. Ahora ya no se me vuelve a ocurrir hacer nada por nadie». Este es el relato del experto en seguridad que ha creado una herramienta por la que por primera vez se puede rastrear la red Tor en el «Eldiario.es». 
Sus implicaciones en la búsqueda de redes de pederastia le ha costado la detención.

«Fue en noviembre del 2012 cuando desarrollé un programa que rastreaba e indexaba esas webs ocultas y lo tuve ejecutándose un par de meses, en los que obtuve más de 100.000 webs catalogadas por diferentes etiquetas para identificar el tipo de páginas que eran», explica el implicado.

«Aparecieron multitud de páginas y foros de pederastas, incluso te encontrabas con mensajes de los administradores regocijándose porque llevaban x años "online" y que nunca les había ocurrido nada... como si fuera una ciudad sin ley donde pueden campar a sus anchas»., añade.

Es en Deep Web donde confluyen todo tipo de actividades ilegales como venta de armas, tráfico de drogas, pedofilia, asesinos a sueldo, y cuyo sistema imperante es la red TOR (The Onion Router) prácticamente imposible de rastrear y de identificar la identidad del usuario impidiendo así cualquier intervención externa.

De ahí la importancia de la creación de un programa capaz de rastrear este submundo cibernético. Sin embargo, En España, la reforma del Código Penal de 2010 añadía el artículo 197/3 en relación con el acceso a sistemas, que establece que: «El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años». Es decir, no distingue entre si son intrusiones para comprobar medidas de seguridad o si son intrusiones con finalidad ilícita.

«Sabía de las implicaciones legales, pero continué y en varias webs conseguí encontrar fallos que permitían extraer toda la base de datos, incluido el listado de usuarios (en uno de ellos había más de 30.000 pedófilos registrados). Realicé varias aplicaciones para extraer la base de datos de forma semi-automática de estas páginas con fallos y envié los programas al Grupo de Delitos Telemáticos de la Guardia Civil(GDT) por si les era de utilidad», afirma el implicado.

Dos meses más tarde, siete agentes de la Policía judicial le esperaban con una orden de registro en la mano prestos a realizar la detención.

«La investigación procedía del FBI y la Europol y por mucho que dijeran que habían rastreado mi IP desde el foro concreto del que se me acusaba una supuesta pertenencia, esta red va cifrada» asegura el hacker, «la única forma que hay de obtener datos es monitorizando nodos origen, donde las comunicaciones van sin cifrar, algo que hace el FBI de forma habitual». Por lo que parece toda la operación surgiría de un servidor del FBI por el que controlan y monitorizan las conexiones que pasan por ahí para tener controlado a quien se descargue imágenes y eso, en principio, según fuentes jurídicas de la Fiscalía, podría ser un agente provocador, una figura que no está contemplada en nuestro derecho, y que haría impune los delitos investigados.

«En cuanto al trato, aparte de que uno a uno me iban presionando, a su forma, para que 'cantara', en general puedo decir que no se portaron mal, salvo el típico borde que te humilla psicológicamente con preguntas o sugerencias como que soy gay, neonazi, que necesito ayuda psicológica, que es mucha casualidad que me pasara dos veces, etc. A pesar de todo, quiero que conste que la GDT hizo todo lo posible por ayudarme y sacarles del error», añade el hacker en la citada web.

En el registro realizado en el domicilio, aún en el supuesto de haber encontrado imágenes, éstas se habrían almacenado de forma temporal en el ordenador por lo que no es delito. «En su día hubo una propuesta para que en la última modificación del Código Penal en 2010 se incluyera como delito, pero no se llegó a hacer», informan desde la Fiscalía.

Intenta desenmascarar a los pedofilos

«En España luchar contra esta gente es complicado porque la ley siempre les ampara» afirma el hacker, «pero sería muy sencillo realizar una aplicación que descargara todas esas fotografías de niños y anotara los hashes o huellas de los ficheros, de manera que luego se puedan buscar en las redes P2P o en los ordenadores incautados de pedófilos», se lamenta el implicado.

El hecho de que él colabore con el cuerpo de Policía no le ha dado ningún estatus especial. «La coordinación entre las diferentes fuerzas del estado es deplorable, no tienen información cruzada. Si se hubieran informado antes habrían visto quién soy realmente», afirma.

«Fue en agosto de 2010 cuando llegué a una web donde se hablaba de un foro pedófilo, y donde todo el mundo estaba alarmado por la libertad con la que la gente escribía de temas de menores en él. Como analogía, imagina que un hombre le está pegando a una mujer en mitad de la calle y hay un corro de gente mirando y diciendo cosas...pero nadie ayuda. Decidí hacer una auditoría de seguridad de la web y hallé una serie de cosas», explica el hacker sus inicios en estas investigaciones.

«Además, como la web era una versión antigua de Joomla, intenté buscar fallos de seguridad para extraer los datos de los pedófilos, pero tenía bastantes protecciones y finalmente desistí. Después de denunciarlo a través de internet a los diferentes cuerpos policiales del Estado, alertó a algunas asociaciones antipedofilia, y así quedó la cosa», añade el hacker.

Cuatro meses más tarde, a las ocho de mañana, siete agentes de la Guardia Civil y un agente judicial con una orden de registro, aparecieron en la puerta de su casa y, tras entregarle una denuncia, procedieron a inspeccionar el domicilio. Dicha denuncia indicaba la web a la que supuestamente había accedido y que el motivo del registro era una posible vinculación a un grupo de pederastas.

«Al principio estaba desorientado, pero tras leerlo y reconocer la web en cuestión, les conté todo y les mostré los mails con las denuncias. Acto seguido llamaron a sus superiores en Madrid y en unos minutos cancelaron la orden de registro y únicamente se llevaron mis dos discos duros del PC, por rutina». Finalmente este hecho quedó con el hacker llamado a declarar al cuartel, sin detencción y un mes más tarde ratificó la declaración en el juzgado con su abogado.

No hay comentarios:

Publicar un comentario