El ingreso a las profundidades de internet —a los sitios, redes y foros en los que pulula la información malhabida, las conspiraciones, y todo aquello que no quiera ser rastreado— no tiene nada de peculiar, al menos en un principio.
El buscador —en este caso Tor, uno de los más utilizados mundialmente, pero puede ser otro— no se diferencia demasiado a simple vista de los utilizados habitualmente, como Google Chrome, Safari o Mozilla.
Eso sí: todo aquí abajo es un poco más lento, como el internet primerizo de los noventa.
Tipeamos el nombre de Breachforums, uno de los sitios en los que desde hace días circulan bases de datos uruguayas, robadas de diversos organismos y empresas, así como múltiples posteos que presumen de una serie de vulneraciones a los sistemas informáticos locales, y que han provocado algunos dolores de cabeza a las autoridades del gobierno, muchas de ellas recién llegadas a sus puestos.
—You have been placed in a queue —avisa la pantalla, que en menos de dos minutos da acceso al foro de las profundidades.
Lo que aquí veamos, a diferencia de la web tradicional —la de la superficie—, está debidamente anonimizado y compartimentado, lo suficiente al menos como para hacer improbable el rastreo a los usuarios que escroleen las pestañas de sitios y foros como este, en el que una entrada con datos de un shopping del interior uruguayo —Uruguay: Las Piedras Shopping (database) (source code), según anuncia el título— convive con posteos sobre el ISIS o bases de datos sobre criptomonedas estadounidenses.
El menú ofrece bases de datos, “servicios ocultos”, un buscador y un apartado donde hacer transacciones con un miembro experiente como garantía. También hay, como en todo foro, un apartado para introducciones. En las más recientes alguien de nombre Snowless dice ser ingeniero o ingeniera de software y que está allí para enterarse de las vulneraciones y si alguna la afecta directamente. En “servicios ocultos” hay apartados para juegos, bases de datos y anuncios de hackeos.
Las entradas sobre Uruguay aparecen con frecuencia. Son discusiones que están “vivas” y mantienen las interacciones.
La andanada
Fue uno atrás del otro: en las últimas semanas varios sitios del Estado uruguayo fueron vulnerados por hackers. El 17 de marzo, hackers transgredieron la página web de la Dirección Nacional de Aviación Civil e Infraestructura Aeronáutica (Dinacia) y estamparon dos fotos en la portada: la del flamante presidente de la República Yamandú Orsi y la de Mauricio Papaleo, director de Seguridad de la Información de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic), organismo que se encarga entre otras cosas de la seguridad digital del estado.
Las fotos iban acompañadas de un mensaje político: “Uruguay cada vez está peor, hay más corrupción política, más mafias, más pobreza y lo único que ve el pueblo en la respuesta del Estado son agendas políticas dictadas por la agenda 2030 y el WEF. Nos cansamos del progresismo, las mentiras de los políticos y sobre todo de que la imagen de Uruguay esté decayendo. Uruguay necesita gobernantes, no títeres”.
Dos días más tarde, el 19 de marzo, una página de Buquebus también fue hackeada. Otra vez, Orsi fue protagonista de las críticas y las amenazas.
El 20 de marzo fue el turno del Ministerio de Desarrollo Social (Mides): ciberdelincuentes compartieron 264 documentos internos y cientos de cédulas de identidad. Pocos días después, se divulgó la filtración de 15.000 solicitudes de visa presuntamente obtenidas de una base de datos de la Dirección de Migraciones. Datos privados y fotografías de encuentros de la Masonería uruguaya fueron subidos a la web de Eficiencia Energética, un organismo dependiente del Ministerio de Industria. También se reportó un ataque a Fiscalía en el que se habrían filtrado documentos internos del organismo y el 30 de marzo varios sitios del gobierno bajo el dominio gub.uy sufrieron una caída masiva. Y en abril, hace días nomás, otro ataque difundió información personal de más de 500 profesores de la Universidad de la República.
Distintos atacantes bajo los seudónimos de LaPampaLeaks, BogotaLeaks, Uruguayo1337, Expresidents y Gov.eth se adjudicaron los hackeos en BreachForums. Los posteos dan cuenta de los hechos, narran cómo lo hicieron desde el punto de vista técnico y adjuntan evidencia —capturas de pantalla, fotos, bases de datos— que lograron extraer del sitio vulnerado. Algunos son, según los atacantes, solo una muestra de todos los datos que lograron hacerse.
El viernes 28 de marzo un joven fue detenido por estar vinculado a algunos de los hackeos a sitios gubernamentales y privados. El hombre de 18 años —que actuaba bajo el seudónimo Requerido1337— fue imputado por cinco delitos: vulneración de datos agravado, acceso ilícito a datos informáticos y tres delitos de interceptación ilícita. Cumplirá prisión preventiva por seis meses como medida cautelar.
Varios de los mensajes emitidos posteriormente por PampaLeaks en BreachForums sostienen que el joven es inocente. “Arrestaron a un estudiante de secundaria de 18 años y lo culparon de todo, aunque, honestamente, no sabemos quién es y nunca formó parte de nuestro equipo”, escribieron en uno de los posteos.
Sin embargo, las autoridades están convencidas de tener evidencia contundente que muestra la participación del joven. Según fuentes de la causa, el imputado subió a un grupo de Telegram —con un perfil asociado a su número de teléfono— un video con captura de pantalla de cómo se habían desarrollado los ataques. Si bien su defensa sostuvo que él grabó la pantalla de cómo lo hacía otra persona, los investigadores señalan que hay evidencias que lo responsabilizan efectivamente como autor, y por eso la Justicia le dio prisión preventiva.
Desde su imputación, los ataques pasaron a reivindicar su inocencia.
Hasta el propio sitio del diario El País fue hackeado el sábado de madrugada, mientras se escribía este informe. El ataque duró solo un par de horas, afectando la portada de la web y unas pocas notas de TV Show, sin que se vulnerara la base de datos de los usuarios. Durante esas horas, se pudo ver una home apócrifa y manipulada, con una plataforma reivindicativa de los delincuentes y el pedido de liberación para “Vladi”, el joven de 18 años que fue enviado a prisión.
Los hackers
Mauro Eldritch forma parte de Birmingham Cyber Arms LTD, una empresa que realiza inteligencia de amenazas y monitorea la dark web. Según su visión, los recientes ataques se caracterizan por una complejidad técnica baja o media, pero una búsqueda de tener una amplia repercusión.
—Cuanto más ruido escuches, hay que tener en cuenta que generalmente estamos ante alguien de menor pericia técnica.
El argumento es sencillo: según Eldritch, una organización sofisticada que ingresara a un sistema valioso haría lo posible por avanzar en su ataque sin llamar la atención, para después pedir una buena recompensa. “Muchas veces no es tanto la pericia profesional del atacante, o sea, no son atacantes muy desarrollados, no tienen infraestructura propia, no tienen malware propio, pero usan ataques que si bien son básicos, los utilizan para difundir un mensaje político”, dice para este informe.
Mientras tanto, quienes dicen ser responsables de algunos de estos ataques, escriben en el foro: “Lo hicimos por diversión y sin fines económicos”.
Otros expertos encuentran en las consecutivas vulneraciones un efecto de trolling, que implica publicar mensajes provocativos u ofensivos con el fin de molestar o boicotear. “Hay un componente medio burlón, medio de chistes. Pero aparte es como decir: ‘ah, mirá te hackeamos’. Trolling es una ideología, que es por divertirse, por hacer algo”, expresa Pablo Brum, especialista en ciberseguridad al frente de la empresa Polo Cyber.
Que los atacantes no sean demasiado profesionales no lo vuelve menos grave, dice Eldritch, y lo compara con el delincuente que entra a robar a una casa pero solo revuelve y no se lleva nada.
“Si vos tenés un atacante incipiente que no es experto y causa este tipo de daño y este tipo de repercusión en la sociedad que llegan a las primeras planas, ocupan espacios en los medios, espacios de radio, el prime time de la tele, es porque justamente hay algo que está fallando”, dice.
Pero no todos los ataques fueron iguales en su magnitud, ni en su gravedad. Algunos, según explican los expertos, estuvieron basados principalmente en filtraciones previas o en reciclaje de otras bases de datos vulneradas.
Brum señala que esto puede ocurrir por dos motivos: por el uso de credenciales malas, es decir, de baja seguridad, que los atacantes pueden probar hasta encontrar una que abra el acceso, o porque se hicieron de una base de datos de contraseñas reales filtradas.
Eldritch utiliza el concepto de carroñar para hablar de esas credenciales de usuarios que ya circulan en las profundidades. “No es que vulneraron nada, no explotaron nada, sino que entran con una llave que alguien perdió en la calle”.
Pero también hubo anuncios de hackeos que revisten mayor complejidad. Uno de los ataques, según la versión de los hackers, controló al menos una parte del sistema de creación de dominios oficiales del gobierno uruguayo. “Obtuvimos acceso al registro de dominios gubernamentales proporcionado por Agesic. Registramos dominios como agesic-domados.gub.uy y publicamos mensajes e incluso hicimos referencia a la comunidad BreachForums”, escribieron en el mismo posteo en el que anunciaban el hackeo a Dinacia.
Los expertos coinciden en que, de ser cierto, el costo de un ataque así puede ser “gravísimo” ya que se pueden crear nuevos dominios oficiales con contenido malintencionado. “Lo que hicieron es crear un dominio, a partir de ahí redirigieron todo el tráfico a ese sitio. La sacás barata porque estás en las manos de personas más inexperientes. Pero podrían haber creado sitios como nuevapresidencia.gub.uy, o algo de becas.gub.uy, por decir algo”, explica Eldritch.
Las autoridades, sin embargo, dirán que la vulneración —sin dejar de ser grave— fue menor de lo anunciado a primera vista.
Filtraciones y protección de datos personales
En varios de los ataques de las últimas semanas los ciberdelincuentes declaran haber accedido a datos personales y las muestras de bases de datos efectivamente presentan columnas con nombres propios, teléfonos, direcciones o incluso resultados de test de covid durante la pandemia. En algunos casos, según las autoridades, se trata de bases viejas o datos que ya son públicos. En Uruguay la ley 18.831, promulgada en 2008, reconoce el derecho a la protección de los datos personales y regula el manejo. Las organizaciones tanto públicas como privadas están obligadas a velar por los datos con los que trabajan, denunciar las filtraciones a la Unidad Reguladora y de Control de Datos Personales y dar aviso a los involucrados. En algunos de los casos recientes se envió un correo a los involucrados para notificarlos de que sus datos habían sido parte de la filtración.
La voz oficial
Es viernes y la agenda de Daniel Mordecki, nuevo director ejecutivo de Agesic, está cargada. Lo primero que hace es bromear sobre lo poco que esperaba que su rol demandara tan rápidamente una presencia en los medios, pero así lo quisieron los hackers o ciberdelincuentes que desde hace semanas ocupan los titulares en los medios.
—Lo que hay que entender es que en este tipo de casos, en los que se busca un ataque reputacional, hay un poco de verdad, otro poco de zona gris o exageraciones, y otro porcentaje de mentira en lo que los atacantes dicen haber hecho. Es como un acto de magia: ellos quieren hacerte creer que pasó algo que no necesariamente pasó, o que es mucho más importante de lo que pasó, aunque sí haya habido algo por detrás.
Acá aparece una de las paradojas en todo este asunto.
Las autoridades, ante muchos de los casos, remarcan que lo ocurrido no es exactamente tal cual lo relatan los responsables de los ataques, pero evitan —adrede— dar muchos detalles más que permitan separar la verdad de la mentira.
En esa decisión pesan aspectos de seguridad —brindar información es también darle más herramientas a los atacantes— así como aspectos estratégicos de cómo lidiar con estos nuevos grupos delictivos.
Pero lo cierto es que ante las consultas a los diversos organismos, en el gobierno prima la preferencia por hablar del tema “en términos generales” y no “caso a caso”. Mordecki sí coincide con la visión de que la última serie de ataques tienen un perfil “nuevo”, de tintes más “políticos”, aunque su pericia técnica no sea la más sofisticada.
Sobre los atacantes, el nuevo director de la Agesic dice dos cosas: que el delito y la seguridad son transfronterizos por naturaleza y que rastrearlos no es tarea fácil en tanto se esfuerzan por no dejar rastros.
Mordecki asegura además que detrás de estos ataques no hay un motivo económico sino una intención de daño reputacional, “de dañar la imagen del gobierno y de la gestión de gobierno”.
“Yo no estoy diciendo que es todo mentira, que es todo una farsa... lo que les estoy diciendo es: el problema real es que hubo un incidente de seguridad, consiguieron una brecha y consiguieron romper”, insiste el jerarca.
No está solo en esa visión. Otras autoridades consultadas para este informe, con la condición del anonimato, también plantean que hay aspectos de lo exhibido por los hackers que dejan una incógnita abierta respecto a qué fue exactamente lo que sucedió.
Pero como sea, la sensación compartida es que nadie está ajeno a la posibilidad de un nuevo ataque.
—Desde el punto de vista de la gravedad de lo que sucedió… a nivel de reputación es grave, o sea las cosas que suceden conmocionan a la sociedad y eso ya es importante —dice el director de Agesic.
En su despacho —ubicado en el corazón de la Torre Ejecutiva— un cuadro reza una serie de mandamientos. Uno de ellos se desliza varias veces durante la entrevista: “La primera vez es culpa de ellos, la segunda vez es culpa mía”. Y es que el desafío está, dice Mordecki, en tomar las medidas adecuadas para que los ataques no vuelvan a suceder.
De Tor a Telegram: las ventanas a las redes oscuras
La metáfora es la de una cebolla con sus consecutivas capas. Tor —The Onion Router— o el enrutador cebolla en español, protege la identidad de sus navegantes mediante un sistema que enruta el tráfico pasándolo por varios nodos. Esto implica que se vuelve prácticamente imposible tener certezas sobre el origen de la conexión y los sitios que se visitan.
A diferencia de lo que ocurre con un buscador habitual, en el que la dirección IP expone la localización, cuando un usuario realiza una búsqueda en Tor los datos pasan por varias capas o nodos que cuentan con información mínima del nodo anterior. La red cuenta con miles de servidores que son ejecutados por voluntarios de todo el mundo.
El Proyecto Tor nació en la década de 1990 en los laboratorios de investigación naval de Estados Unidos con el fin de crear conexiones a Internet privadas. Actualmente el proyecto señala que su misión es “promover los derechos humanos y las libertades mediante la creación y despliegue de tecnologías de anonimato y privacidad libres y de código abierto”.
Además de los foros que son de libre acceso a través de este navegador, hay un canal que los hackers frecuentan por estos días: Telegram, la plataforma de mensajería privada que también se caracteriza por su sistema de seguridad. En 2024 el fundador y CEO de la empresa, Pavel Durov, fue detenido en Francia acusado de no colaborar con las autoridades que investigaban el uso delictivo de Telegram. En marzo de este año se le permitió volver a Emiratos Árabes mientras la investigación sigue en proceso.
Los expertos coinciden en que Telegram ha ganado popularidad en el último tiempo entre grupos de ciberdelincuentes. Sin embargo, señalan que los grupos de ransomware —altamente profesionalizados— prefieren utilizar otras plataformas, incluso de desarrollo propio, para comunicarse.
Los grupos que operan en Uruguay
Mauro Eldritch, de Birmingham Cyber Arms, ha investigado también el desarrollo y el despliegue de distintos grupos de ciberdelito en Uruguay. A grandes rasgos, distingue entre la actuación de individuos o comunidades de foro, de solvencia técnica baja o media, y organizaciones de ransomware o similares, ya de mayor complejidad y sofisticación.
“Nosotros hemos perfilado el comienzo de dos grupos. Primero el grupo The Ex-Presidents, que hace ataques de tipo político. Nos quedó una alarma importante el día que ellos compran una muestra del ransonware Robin Hood y empiezan a trabajar para modificarla. Al día de hoy nunca la han utilizado, pero sabemos que tienen una cepa de ransomware en la que están trabajando. Otro grupo que actúa mucho en Uruguay es Godhand, que era un grupo de data extortion. Entran a tu compañía, te copian los datos sin encriptar nada y te extorsionan. Si vos no pagás, los publican o los venden al mejor postor”, afirma.
Según Eldritch, “hay actividad de grupos que antes no estaban en Uruguay y empezaron a atacar acá porque tenemos antecedentes de pago”. Sobre el perfil de los ciberdelincuentes, el especialista afirma que “es difícil trazar una sola línea” y que se encuentra “de todo un poco” en los distintos grupos que operan en el país y la región.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
de modo que se deslice hacia la izquierda.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
. Se pondrá en gris, lo que indica que ya no se bloquearán los anuncios de ese sitio web.
.