@isitreallysafe

Ya tanto se ha escrito sobre Andrés Fernando Sepúlveda Ardila, el atacante que fue detenido por presuntamente interceptar comunicaciones y usar software malicioso, que en realidad poco se puede añadir (haga click acá y acá para encontrar casi todo lo que ha sido publicado acerca de este asunto).

En inglés, la palabra hype quiere decir publicidad o promoción intensiva o extravagante. Me temo que los medios colombianos, casi sin excepción, cayeron en un hype sensacionalista en el cubrimiento que han dado a la noticia.

El escándalo en este caso tiene solamente dos componentes: (i) los cuestionamientos relacionados con las presuntas actividades ilegales de interceptación de comunicaciones en medio de la campaña política y (ii) los cuestionamientos de seguridad nacional relacionados con los diálogos en La Habana. Que haya un supuesto hacker involucrado no es el centro de la noticia.

No hay un ‘zar de las interceptaciones’, como de forma amarillista fue denominado, ni es del todo seguro que sea algo diferente de un atacante que no necesariamente tiene un nivel alto de conocimiento y experiencia. Varios indicadores sugieren el nivel de preparación y experiencia de Sepúlveda.

Un atacante profesional sabe que debe evitar al máximo dejar un fingerprint en el web (entre otros lugares, por supuesto). Entre más extenso es el fingerprint, más extensa es la superficie de exposición, es decir, es más fácil encontrar datos y pistas que ayudan a definir un perfil sobre él y a identificarlo y ubicarlo.

El perfil de Sepúlveda

Sin embargo, el fingerprint que Sepúlveda dejó por todas partes es típico de alguien no profesional, con un interés hacia el desarrollo de sitios web y una posterior inclinación hacia los temas relacionados con seguridad. Haciendo una corta búsqueda de cosas relacionadas con él, encuentro que:

– Sepúlveda inicialmente se publicitaba como diseñador de sitios web. Posteriormente empezó a indicar que era experto en seguridad informática. Solamente en una ocasión encontré que mencionara tener un título profesional, el de ingeniero, pero aún en esa ocasión no indicó la rama de ingeniería que supuestamente estudió.

– En 2005 creó un perfil en blogspot, en el que publicó dos entradas, una relacionada con ciclismo y otra en la que, además de afirmar que nos odiaba a todos (…), aparentemente ofrecía para la venta algunas herramientas –desarrolladas por otros y bien conocidas en el medio– para el desarrollo de sitios web.

– Publicó un perfil en YouTube acá, a través del que se suscribió a canales que llaman la atención: ‘ExploitPack’ (que si bien no tiene videos publicados hoy, es posible que en el pasado haya tenido tutoriales relacionados con la operación de software diseñado para violar vulnerabilidades), ‘Metasploit Project – Topic’ (en el que sí se encuentran hoy tutoriales sobre uso de herramientas de ataque), ‘HackingCons’ (un canal dedicado a conferencias patrocinadas por 2600: The Hacker Quarterly”) y ‘Amazon Web Services’.

En uno de los videos, subido a su canal de YouTube en septiembre de 2007, se le puede ver recitando ‘Caperucita Roja al revés’.

– El 13 de octubre de 2009 publicó un artículo sobre seguridad informática en las agencias de publicidad. Según él, con el artículo intenta demostrar que atacó con éxito el sitio web de varias agencias de publicidad. Sin embargo, la evidencia que presenta es muy pobre y no permite sacar ninguna conclusión – son simples screenshots que no demuestran nada. No aporta logs de tráfico, ni herramientas, ni comandos usados.

En su artículo, indica que atacó exitosamente esos sitios web vía SQL injection (salvo uno). Vea usted en este video cómo un niño de 3 años ataca un sitio web vía SQL injection.

– Publicó un perfil en Google+ acá.

– El 6 de octubre de 2012 creó un perfil en GitHub (acá) en el que hace un año publicó tres entradas (un readme.md, un index.php y un new.php). Aparte de esta actividad, solamente tiene dos entradas en las que pide ayuda porque no puede instalar TileDrawer, una herramienta para el desarrollo y hosting de mapas. A propósito, de manera incidental permite ver que usa Amazon Web Services, cosa que es relevante para los investigadores que están revisando el caso debido a la gran cantidad de direcciones IP a las que pudo tener acceso y al gran ancho de banda del que pudo haber disfrutado.

(Sepúlveda publicó perfiles en algunos otros sitios web pero basta con estos que ya mencioné).

¿Qué quiere decir todo esto?

– Que Sepúlveda tal vez no tiene formación universitaria o que al menos no la tiene en alguna ingeniería.

– Que no es un experto en seguridad informática y mucho menos un ethical hacker.

– Que no es un programador experto y necesita recurrir a ayudas, v.g. los tutoriales en YouTube y el pedido de auxilio en GitHub, para poder ejecutar tareas que para un experto son elementales.

– Que no se le ocurrió pensar que la discreción y la reserva iban a ser sus mejores aliadas y, en cambio, publicó cuantos perfiles suyos pudo.

– Que no trabaja con profesionalismo y disciplina.

Sí, es probable que haya aprendido a manejar algunas herramientas o algunos comandos para el BSD del Terminal de Mac o en Perl o Python. Incluso pudo haber conseguido infectar dispositivos usados por actores del gobierno, miembros de campañas políticas o involucrados en las negociaciones de La Habana. Aún así, no hace falta ser un experto para comprar un virus kit, diseñar e implementar una campaña y disparar los ataques: por un costo no muy alto se pueden conseguir kits muy fáciles de usar, que traen instrucciones de uso, actualizaciones automáticas y soporte técnico (entenderán los lectores que no me interesa indicar en dónde se pueden conseguir virus kits).

Nada de esto lo ubica, ni lo acerca siquiera, a la categoría de experto en seguridad.

Y, definitivamente, no hace de él un hacker. Por favor, no digan de él que es un hacker. Es un atacante. Otro más.

Saludos desde California,

Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe