"El Estado español es un ridículo". ¿Cómo se coló un 'hacker' en el 'mail' de Marchena?

"Marchena y el juicio del 'procés' no eran el objetivo de la operación. Llegamos a su cuenta a base de suerte y deducciones. El objetivo era otro: mostrar la falta de seguridad en las instituciones españolas, fueran cuales fueran los fallos". Así explica a este diario el 'hacker' (o 'hackers') que se ha colado en el 'e-mail' profesional del magistrado del Tribunal Supremo Manuel Marchena, presidente del tribunal en el juicio del 'procés'. Teknautas ha contactado con las personas detrás de Anonymous Catalonia, que explican entre líneas cómo han logrado el ataque pese a haber fracasado en su supuesta misión principal: ni los sistemas del Consejo General del Poder Judicial (CGPJ) tenían un fallo de seguridad, ni obtuvieron ningún tipo de información relevante. Un escaso botín por el que, si son identificados, se podrían enfrentar a penas de hasta cuatro años de cárcel.

"¿Que cómo nos definimos? Defendemos la libertad de expresión, la independencia de internet y de las redes de manera anónima. Ahora mismo queremos poner en evidencia la corrupción del Estado español con todo el asunto de la independencia de Cataluña, es un ridículo". Esta es la carta de presentación de Anonymous Catalonia, nombre bajo el cual se agrupan uno o más activistas que durante los últimos días han reivindicado ser los autores del 'hackeo' al correo electrónico de varios magistrados y fiscales, tal y como adelantó en exclusiva este diario el pasado sábado. Que se sepa, solo han logrado acceder al 'mail' del juez Marchena. Lo intentaron sin éxito con muchos más, en concreto con las cuentas del resto del tribunal del juicio del 'procés' y los fiscales. Pero ¿cómo lo hicieron realmente? ¿Fue a través de una vulnerabilidad en los sistemas del CGPJ, como han dejado caer? ¿Por un fallo del juez Marchena al usar contraseñas demasiado evidentes?

TE PUEDE INTERESAR

El CNI descubre un 'hackeo' masivo al tribunal y a los fiscales del 'procés'

Beatriz Parera

"Decírtelo nos puede perjudicar". Es la frase que usan en múltiples ocasiones los integrantes de Anonymous Catalonia al ser contactados por Teknautas. Fuentes del sector de ciberseguridad consultadas que han tenido contacto previo con este grupo aseguran que son 'hackers' muy jóvenes pero con "mucha pericia técnica". Pese a ello, su rastro digital deja claro que no ha habido fallo de seguridad en los sistemas del CGPJ sino mera ingeniería social. Que no es poco.

"Los 'passwords' no estaban actualizados ni puestos en relación directa con las cuentas afectadas", señalan al ser preguntados por cómo lograron colarse en los correos. Para expertos de ciberseguridad con experiencia en analizar este tipo de ataques, la técnica empleada por Anonymous Catalonia es mucho menos sofisticada de lo que en realidad quieren vender. "Lo primero que llama la atención es que su navegador y sistema está configurado en francés [se puede apreciar en este pantallazo y en este otro, en la barra de URL]. Hay dos opciones: una, que alguno de sus integrantes sean franceses o españoles viviendo en Francia. Usan palabras raras, como 'código' en lugar de 'contraseña', por lo que no es de descartar lo primero. La otra opción es que estén usando estos detalles como mero cebo para despistar al CNI, lo que en el argot se llama una falsa bandera", explica a Teknautas Sergio de los Santos, especialista en ciberseguridad.

Los pantallazos también delatan que están usando algún tipo de servicio VPN para ocultar la IP y el equipo desde el que se conectan y evitar así ser rastreados. "En un pantallazo en la URL se lee "non sécurisé", con el 'https' tachado. Eso ocurre cuando estás entrando con una VPN", prosigue De los Santos. Pero las mayores pistas las dan ellos mismos. En uno de sus tuits, aseguran que "ese código [refiriéndose a la contraseña del 'e-mail' profesional de Marchena] está en una base de datos de más de 9.000 millones de códigos que fueron filtrados en su día, una base de datos accesible por cualquiera".

Con eso ya lo dicen casi todo. Cada mes acaban publicados en la red millones de 'e-mails' con sus respectivas contraseñas. Se puede acceder a ellos en un par de clics. El pasado enero se produjo una de las mayores filtraciones de este tipo: 772 millones de 'e-mails' y 22 millones de contraseñas en texto plano, totalmente al aire, en una serie de archivos que se denominaron Collection#1. Internet es un mercadillo al por mayor de correos electrónicos y contraseñas al que es muy fácil acudir. Y eso es justo lo que hizo Anonymous Catalonia.

"Por mucho que lo quieran vestir de que se han colado en las bases de datos del CGPJ por una vulnerabilidad, pero todo apunta a que es mentira. La hipótesis más probable es que buscaron en este tipo de bases de datos filtradas los nombres de Marchena y otros magistrados del 'procés', y hubo suerte. Se encontraron con un 'mmarchena' en servicios de Hotmail y Yahoo y sus respectivas contraseñas. Se les ocurrió probarlas en el acceso web al 'e-mail' del CGPJ, quizás cambiando algún caracter, y bingo, Marchena había cometido el error que comentemos a menudo: usar la misma contraseña o pequeñas variantes para diferentes servicios", explica Sergio de los Santos. Anonymous Catalonia no ha publicado de momento pruebas de que haya accedido al correo de otros jueces, aunque fuentes jurídicas y del CNI confirman que sí se realizaron los intentos. ¿Y qué hay de los correos personales? "Decírtelo nos puede perjudicar", responden de nuevo.

Sin dar muchos detalles, un comunicado difundido ayer por el CGPJ confirma la técnica usada por los 'hackers'. "El Centro de Documentación Judicial (Cendoj), órgano técnico del CGPJ responsable de la gestión del correo corporativo, investiga el origen y alcance de esa brecha de seguridad en colaboración con otros organismos con competencias en materia de seguridad de las tecnologías de la información. El Cendoj ha recordado a los miembros de la carrera judicial los protocolos de seguridad que deben adoptarse en relación con el uso del correo". Traducido: les han recordado, entre otras cosas, que por favor, por favor, no usen la misma contraseña para su correo profesional que para su Facebook, LinkedIn o Twitter.

Marchena pudo cometer el error de usar la misma contraseña en diversos servicios, pero no el de almacenar secretos profesionales en su 'e-mail'

La Fiscalía abrirá ahora una investigación por el 'hackeo' de la cuenta de correo electrónico del juez Marchena y el intento de acceder a las de otros magistrados. Su objetivo, con ayuda del CNI, será conocer la identidad de los jóvenes detrás de Anonymous Catalonia. Y están en lo cierto: pueden salir muy perjudicados. "El artículo 197 del Código Penal es muy claro: plantea penas de hasta cuatro años de cárcel para quienes se apoderen de correos electrónicos para descubrir los secretos o vulnerar la intimidad de otro. Es un delito grave", explica el abogado especializado en tecnología Carlos Sánchez-Almeida. Sin embargo, sentencias previas del Tribunal Supremo, como la del caso Bitel, estipularon que en el caso de las administraciones públicas no hay posibilidad de secreto profesional ni personal.

"Marchena pudo cometer el error de usar la misma contraseña en diversos servicios, pero desde luego no ha cometido el error de almacenar secretos profesionales en su 'e-mail', como la sentencia del 'procés', si es que está redactada. Como no hay secreto que desvelar, se podría interpretar que el 'hackeo' vulnera en realidad el artículo 197bis, que es un delito menos grave con penas de hasta dos años de cárcel. Es cuestión de interpretación", explica Almeida. "Lo que está claro es que se han metido en un buen lío".