Ya tanto se ha escrito sobre Andrés Fernando Sepúlveda Ardila, el atacante que fue detenido por presuntamente interceptar comunicaciones y usar software malicioso, que en realidad poco se puede añadir (haga click acá y acá para encontrar casi todo lo que ha sido publicado acerca de este asunto).
En inglés, la palabra hype quiere decir publicidad o promoción intensiva o extravagante. Me temo que los medios colombianos, casi sin excepción, cayeron en un hype sensacionalista en el cubrimiento que han dado a la noticia.
El escándalo en este caso tiene solamente dos componentes: (i) los cuestionamientos relacionados con las presuntas actividades ilegales de interceptación de comunicaciones en medio de la campaña política y (ii) los cuestionamientos de seguridad nacional relacionados con los diálogos en La Habana. Que haya un supuesto hacker involucrado no es el centro de la noticia.
No hay un ‘zar de las interceptaciones’, como de forma amarillista fue denominado, ni es del todo seguro que sea algo diferente de un atacante que no necesariamente tiene un nivel alto de conocimiento y experiencia. Varios indicadores sugieren el nivel de preparación y experiencia de Sepúlveda.
Un atacante profesional sabe que debe evitar al máximo dejar un fingerprint en el web (entre otros lugares, por supuesto). Entre más extenso es el fingerprint, más extensa es la superficie de exposición, es decir, es más fácil encontrar datos y pistas que ayudan a definir un perfil sobre él y a identificarlo y ubicarlo.
El perfil de Sepúlveda
Sin embargo, el fingerprint que Sepúlveda dejó por todas partes es típico de alguien no profesional, con un interés hacia el desarrollo de sitios web y una posterior inclinación hacia los temas relacionados con seguridad. Haciendo una corta búsqueda de cosas relacionadas con él, encuentro que:
– Sepúlveda inicialmente se publicitaba como diseñador de sitios web. Posteriormente empezó a indicar que era experto en seguridad informática. Solamente en una ocasión encontré que mencionara tener un título profesional, el de ingeniero, pero aún en esa ocasión no indicó la rama de ingeniería que supuestamente estudió.
– En 2005 creó un perfil en blogspot, en el que publicó dos entradas, una relacionada con ciclismo y otra en la que, además de afirmar que nos odiaba a todos (…), aparentemente ofrecía para la venta algunas herramientas –desarrolladas por otros y bien conocidas en el medio– para el desarrollo de sitios web.
– Publicó un perfil en YouTube acá, a través del que se suscribió a canales que llaman la atención: ‘ExploitPack’ (que si bien no tiene videos publicados hoy, es posible que en el pasado haya tenido tutoriales relacionados con la operación de software diseñado para violar vulnerabilidades), ‘Metasploit Project – Topic’ (en el que sí se encuentran hoy tutoriales sobre uso de herramientas de ataque), ‘HackingCons’ (un canal dedicado a conferencias patrocinadas por 2600: The Hacker Quarterly”) y ‘Amazon Web Services’.
En uno de los videos, subido a su canal de YouTube en septiembre de 2007, se le puede ver recitando ‘Caperucita Roja al revés’.
– El 13 de octubre de 2009 publicó un artículo sobre seguridad informática en las agencias de publicidad. Según él, con el artículo intenta demostrar que atacó con éxito el sitio web de varias agencias de publicidad. Sin embargo, la evidencia que presenta es muy pobre y no permite sacar ninguna conclusión – son simples screenshots que no demuestran nada. No aporta logs de tráfico, ni herramientas, ni comandos usados.
En su artículo, indica que atacó exitosamente esos sitios web vía SQL injection (salvo uno). Vea usted en este video cómo un niño de 3 años ataca un sitio web vía SQL injection.
– Publicó un perfil en Google+ acá.
– El 6 de octubre de 2012 creó un perfil en GitHub (acá) en el que hace un año publicó tres entradas (un readme.md, un index.php y un new.php). Aparte de esta actividad, solamente tiene dos entradas en las que pide ayuda porque no puede instalar TileDrawer, una herramienta para el desarrollo y hosting de mapas. A propósito, de manera incidental permite ver que usa Amazon Web Services, cosa que es relevante para los investigadores que están revisando el caso debido a la gran cantidad de direcciones IP a las que pudo tener acceso y al gran ancho de banda del que pudo haber disfrutado.
(Sepúlveda publicó perfiles en algunos otros sitios web pero basta con estos que ya mencioné).
¿Qué quiere decir todo esto?
– Que Sepúlveda tal vez no tiene formación universitaria o que al menos no la tiene en alguna ingeniería.
– Que no es un experto en seguridad informática y mucho menos un ethical hacker.
– Que no es un programador experto y necesita recurrir a ayudas, v.g. los tutoriales en YouTube y el pedido de auxilio en GitHub, para poder ejecutar tareas que para un experto son elementales.
– Que no se le ocurrió pensar que la discreción y la reserva iban a ser sus mejores aliadas y, en cambio, publicó cuantos perfiles suyos pudo.
– Que no trabaja con profesionalismo y disciplina.
Sí, es probable que haya aprendido a manejar algunas herramientas o algunos comandos para el BSD del Terminal de Mac o en Perl o Python. Incluso pudo haber conseguido infectar dispositivos usados por actores del gobierno, miembros de campañas políticas o involucrados en las negociaciones de La Habana. Aún así, no hace falta ser un experto para comprar un virus kit, diseñar e implementar una campaña y disparar los ataques: por un costo no muy alto se pueden conseguir kits muy fáciles de usar, que traen instrucciones de uso, actualizaciones automáticas y soporte técnico (entenderán los lectores que no me interesa indicar en dónde se pueden conseguir virus kits).
Nada de esto lo ubica, ni lo acerca siquiera, a la categoría de experto en seguridad.
Y, definitivamente, no hace de él un hacker. Por favor, no digan de él que es un hacker. Es un atacante. Otro más.
Saludos desde California,
Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe
Según este blogguero, quien parece un experto, Andrés Sepúlveda es apenas un principiante. Tal parece que es un inquieto bachiller que maneja bien las redes sociales con un discurso abiertamente anti-fariano, que lo hace, en palabras del Fiscal, un peligroso hacker, que también llamara el Ministro Iragorri como el «zar de las interceptaciones». ¿Si esto no es un gran montaje con el único objetivo de afectar la campaña presidencial de Oscar Iván Zuluaga, que es entonces? No creo que el Fiscal sea tan estúpido, ni que el Ministro sea tan idiota, ni que RCN haya sido utilizado. Que vergüenza producen Fiscalia, prensa y gobierno. De todo esto han hecho un caso judicial para, además, tapar el escándalo de los dineros calientes de los asesores de Santos. @jebotero
Califica:
IMPRESIONANTE la expericiencia mundial que tiene Carlos Alvarez, a nivel informatico. Es un genio de la tecnologia ivestigativa. Trabaja para la seguridad de varios países en el mundo, ha dictado conferencia en America Latina, USA, Europa,Asia. Por que’ a un genio como el Santos no lo nombro’ jefe de su campa#a? Sera el proximo Ministro de Defensa? Una persona con un curriculum fuera de serie. El Tiempo debía contar la historia de este colombiano, y no llenar paginas, con mentiras, ataques, publicidad política del gobierno, y noticias repetidas.
Califica:
Ja… flamante Hacker trabajando como Digitador… ese pelele lo que es es un Jokers…
Califica:
En otras palabras, el perfil potencialmente peligroso y asesino del hacker resulto por obra y gracia de un analisis elemental, el mas docil y sumiso de los sicarios….de terrorista, convertido en travieso y de espia y general en un soldado raso incapaz de ser francotirador………buen analisis para un defensor publico, pero falso para un investigador o para alguien que sabe de los alcances del narcoparamilitarismo reinante
Califica:
ahi queda demostrado que estamos en medio de una guerra mediatica y que en politica todo se vale. A Santos y su JJ Rendon segun parece les descubrieron algo y ahi estuvo la chispa para el escandalo. Ahora los del otro bando le buscaron la caida al de Uribe con el cuento de este hacker y como lo demuestra este articulo no es mas que un tipo normal que nada que ver con todo lo que se dice y que hicieron tanto escandalo. hasta cuando ven a seguir buscando votos no por meritos sino al que mas hable mal del otro…
Califica:
Sr Santos. Como candidato Presidente , es ud quien primero debio dar ejemplo de pulcritud en todos sus actos. Tanto lo del Hacker como los us 12 000.000 del Narcotrafico son faltas gravisimas, no una mas pequeña que la otra. Asi ud ponga al Sr Caballero a dar explicaciones parcializadas en Cable Noticias y duele mas cuando este Sr dice que en ee.uu eso no es delito ???? Los cimientos de la democracia han vuelto a tener fisuras muy profundas ( Narcotrafico ), No importa que no haya sido un elefante, sino una vaca como lo quieren mostrar. El mediocre del fiscal le sacara una disculpa juridica y los amigos de las altas cortes a fines al gobierno lo pasaran como poco relevante, pero el pueblo cobrara por ventanilla. Difinitivamente las mujeres nos siguen dando ejemplo de pulcritud.
Califica:
A ver… Cualquier ingeniero de sistemas de una universidad medianamente buena, está capacitado para «hackear» un servidor. Saber de protocolos, crear un programita sencillo y atacar es muy pero muy fácil… Lo difícil es cubrir el rastro, obtener la información y salirse con la suya. Mejor dicho, es la comparación entre un futbolista de fin de semana y un jugador de la Champions League de Europa. Uno sabe patear, defender, correr, jugar… Pero de ahí a que logre hacer lo que hacen esos señores, es otra cosa. Ahora que la mayoría de los más grandes hackers del mundo no pasaron por las aulas, pero a punta de hacer las cosas, repetir, aprender por ellos mismos, se vuelven geniales y logran hacer cosas impresionantes. El análisis es incompleto y no muestra la realidad, simplemente porque el hecho que tenga o no perfiles en redes sociales, haya o no creado páginas web, no lo hace incapaz de llevar a cabo un ataque informático. Es más, para utilizar un proverbio gringo: «añade a la duda razonable»…
Califica:
El problemas de si este señor es experto o no es lo de menos, lo. Importante es que es un delincuente, que trabajaba para uribe y que les dio información que atenta contra un presidente y que debe ser investigado, ellos momento pues puede ser que santos tomo ventaja de decirlo ahora, pero no da a lugar, pues tiene que ver con la campaña y este tema involucra a la campaña
Califica:
Si este señor es culpable que le caiga el peso de la ley. Pero no construir una infamia contra Zuluaga que los colombianos decentes rechazamos. Adelante Zuluaga !
Califica:
ojo señor procurador!!!..pongase las pilas y saque santos..aqui en el caqueta hoy salen a florencia 500 campesinos presionados por la farc para que voten por santos..este delicuente de santos es una porqueria..es el ser mas despreciable que ha tenido como presidente colombia.
Califica:
ahora se la contemplación de santos con Petro.. es que la farc le da ordenes…hoy me di cuenta con las 500 personas que llegan a florencia de cartagena del chaira… presionadas por la farc para que voten por santos…mas claro no canta un gallo… santos esta con la farc..y sigalo chuzando para que le descubran mas porqueria que quiere hacer con el pais.
Califica:
Pues no sera un profesional pero se vendia como profesional entonce segun el blogistas porque este era un enfermo mental dandose la Profesional no es culpable porque no saber lo que hace no este sirverguenza trabajo con us mentiras chisme persecuiciones con enfermos mentales que existen en colombia para joder a un Gobierno sea de aqui o del exterior lo mismo que la mujercita de el una pequeña actirs sin exito o los defensores que digan que mas trabajo. deben averiguar es en donde obtubieron los titulos de porfesionales ya que un profesional de verdad no presenta para estas suciedades y deneramiento ha una nacion por odio o venganza
Califica:
Señor Juan manuel Santos, el concepto de un experto en el tema deja muy claro que su afan inmediatista por ganar la presidencia no lo deja pensar por no asesorarse mejor antes de hablar, pobre señor con con todo el peso de la ley una Fiscal de declara peligro para la sociedad, solo por el hecho de saber que Santos en el enviado de Cuba para promover el comunismo en america latina, que pena señor santos pero digale mas bien al pais que su camapña esta infiltrada por el narcotrafico y las Farc.
http://www.periodismosinfronteras.org/presidente-uribe-cuidado-con-el-elefante.html
Califica:
Excelente análisis, señor Álvarez. Definitivamente un hacker de verdad no se hubiera dejado pescar tan fácil como lo hizo Andrés Sepúlveda. Ahora bien, en este caso hay implicaciones políticas más profundas que el simple debate de si el sujeto es o no es. El hecho es que algún grupo o persona patrocinó a Sepúlveda. Si algo bueno sale de este asunto es que las personas y organizaciones muy probablemente van a estar en adelante más pendientes de su seguridad informática. Post Data: qué mal gusto el de la bella actriz Lina Luna, cuyo nombre parece un juego de palabras (Lana, lena, lina, lona, luna….)
Califica:
Como primero se condena, después se juzga y por último se absuelve, este señor no es ningún zar sino un principiante. Otro falso positivo que se va a olvidar después del 25 de mayo.
Califica:
Los hakers todos los días vacían las cuentas de los colombianos…
Califica:
Este articulista de nombre Carlos S. Álvarez pareciera mas bien alguien contratado por Uribe o la RATA de José Obdulio Gaviria para que realice un análisis técnico enfilado a MINIMIZAR los delitos al Hacker Sepúlveda. Es decir que por no ser un SUPERDOTADO y además un profesional formado en una Universidad con Título académico de Ingeniero de Sistemas, no es alguien competente para cometer una serie de delitos que parecieran estar reservados para verdaderos DELINCUENTES como suponemos es el señor Cárlos S. Álvarez. A otros idiotas con esos cuentos suyos señor Álvarez.
Califica:
Este Pelele es un Haker.. pero con J…. ahora cualquier Moco en la pared le dicen Hacker….
Califica:
Martha Esmeralda , le cuento que entre’ por curiosidad, y es aterrador encontrar tanta gente con veneno en sus corazones, con la capacidad para juzgar y condenar sin tener ninguna prueba. En el caso suyo, me imagino que conoce a Sepulveda y a Uribe, para afirmar que el primero es un delincuente y el segundo , con informaciones, esta «atentando» contra el el presidente, quien si esta «atentando» por la paz de Colombia, por su bella amistad con los farianos. Hay que leer ,investigar,y en el presente conocer a las personas,para poder describirlos y juzgarlos.
Califica:
pues si, No confundan un Hackers con un Jockers!!!
Califica:
Señor Alvarez le sugiero que vaya contratando abogado pues se acaba de convertir en un peligro para Farsantos y las fart según el fiscalito de bolsillo pues el condena porque «hay indicios de que puede cometer delitos informáticos porque tiene el conocimiento para hacerlo». Dios lo proteja.
Califica: