Atrapar piratas en la Red

El Ministerio del Interior ha extremado las medidas de protecci¨®n y los filtros de seguridad de sus ordenadores tras el ataque inform¨¢tico que sufri¨® entre los pasados d¨ªas 7 y 11 de junio. Seg¨²n las diligencias previas 2481/98-I, que instruye el juzgado n¨²mero 8 de Madrid, se trat¨® "de un ataque coordinado y masivo para hacerse con el control de la m¨¢quina del Ministerio del Interior".El informe t¨¦cnico remitido al juzgado explica que el servidor Web de Interior en Internet, que ofrece informaci¨®n p¨²blica sobre sus actividades, "puede llegar a convertirse en una pieza codiciada para hackers por motivos pol¨ªticos". Las auditor¨ªas de seguridad realizadas hasta ahora revelaban que, a pesar de estos ataques, el servicio no hab¨ªa "sido vulnerado, en base al establecimiento de dobles medidas de seguridad para la protecci¨®n de la red interior del Ministerio y el uso de software certificado de seguridad para la protecci¨®n del servidor Web del Ministerio".

Lejos de cualquier triunfalismo, el informe advierte de que "solamente la vigilancia y el destino de recursos de tiempo y trabajo por parte del personal de inform¨¢tica puede evitar, y lo ha hecho hasta el momento, la vulneraci¨®n de las medidas de seguridad implantadas. Los intentos de ataque detectados hasta hace pocas fechas han sido realizados por individuos aislados a trav¨¦s de programas de rastreo de puertos y direcciones, sin revestir un peligro importante".

Por esta raz¨®n, Interior se limit¨® en el pasado a advertir a los administradores de la red sobre la existencia de estos incidentes y a pedirles que adoptasen medidas para evitar su repetici¨®n. Sin embargo, la situaci¨®n cambi¨® tras el fin de semana del 6 y 7 de junio, cuando se produjo un ataque que, seg¨²n el informe, "s¨ª puede ser considerado delito, ya que se encontraba encaminado a extraer informaci¨®n clasificada de los sistemas pertenecientes al acceso Internet Corporativo".

La denuncia presentada en el juzgado explica que "el s¨¢bado 6 de junio de 1998 a las 01.22.54 el ordenador del Ministerio del Interior de nombre ulises.mir.es registra un intento de acceso no autorizado a los ficheros /etc/hots y /etc/passwd y posteriormente la sustracci¨®n de los mismos con destino en la direcci¨®n de correo electr¨®nico terapia83@hotmail.com ubicada en un ordenador de Estados Unidos". "El fichero /etc/hots contiene la estructura de la red inform¨¢tica exterior del Ministerio del Interior", seg¨²n la denuncia, y el "/etc/passwd contiene los datos y palabras de paso de los usuarios contenidos en el ordenador ulises.mir.es.".

Del texto de la denuncia se deduce que la acci¨®n de los hackers s¨®lo afect¨® a la red inform¨¢tica externa del departamento y no a la interna, donde se almacenan los bancos de datos sensibles, por ejemplo los referidos a investigaciones policiales, el fichero del DNI o del personal de las Fuerzas y Cuerpos de Seguridad del Estado, como asegur¨® el subsecretario de Interior, Leopoldo Calvo-Sotelo, el pasado d¨ªa 18, despu¨¦s de que EL PA?S desvelase la existencia del ataque.

Sin embargo, en contra de lo asegurado por Calvo-Sotelo, no se trat¨® de un intento fallido, ya que los hackers sustrajeron los ficheros que permiten controlar el ordenador externo del Ministerio del Interior y los almacenaron en la cuenta de correo electr¨®nico terapia83@hotmail.com.

Estos ficheros tienen car¨¢cter clasificado, lo que explica que la denuncia se interpusiera por un presunto delito de revelaci¨®n de secretos, que el art¨ªculo 197 del C¨®digo Penal castiga con penas de prisi¨®n de uno a cuatro a?os y multa de entre 12 y 24 meses.

La direcci¨®n terapia83@hotmail.com. corresponde a una cuenta de correo electr¨®nico de la empresa Hotmail Corporation, con sede en Sunnyvale, California (EE UU), que es la primera suministradora mundial de cuentas de correo gratuitas, con m¨¢s de 10 millones de usuarios.

Los ataques se lanzaron de forma coordinada desde varios dominios o grupos de ordenadores ubicados en Estados Unidos: geocities.com., en Santa M¨®nica (California); exodus.net., en Santa Clara (California); tripod.com., en Williamstown (Massatchussets); hotbot.com., en San Francisco (California); y nettaxi.com., en San Jos¨¦ (California).

Para identificar a los hackers, los investigadores han pedido ayuda al Grupo de Trabajo de Interpol sobre Delitos Relacionados con la Tecnolog¨ªa de la Informaci¨®n y al NIPC (Centro Nacional de Protecci¨®n de Infraestructura) del FBI.