Atrapar piratas en la Red

El Ministerio del Interior ha extremado las medidas de protección y los filtros de seguridad de sus ordenadores tras el ataque informático que sufrió entre los pasados días 7 y 11 de junio. Según las diligencias previas 2481/98-I, que instruye el juzgado número 8 de Madrid, se trató "de un ataque coordinado y masivo para hacerse con el control de la máquina del Ministerio del Interior".El informe técnico remitido al juzgado explica que el servidor Web de Interior en Internet, que ofrece información pública sobre sus actividades, "puede llegar a convertirse en una pieza codiciada para hackers por motivos políticos". Las auditorías de seguridad realizadas hasta ahora revelaban que, a pesar de estos ataques, el servicio no había "sido vulnerado, en base al establecimiento de dobles medidas de seguridad para la protección de la red interior del Ministerio y el uso de software certificado de seguridad para la protección del servidor Web del Ministerio".

Lejos de cualquier triunfalismo, el informe advierte de que "solamente la vigilancia y el destino de recursos de tiempo y trabajo por parte del personal de informática puede evitar, y lo ha hecho hasta el momento, la vulneración de las medidas de seguridad implantadas. Los intentos de ataque detectados hasta hace pocas fechas han sido realizados por individuos aislados a través de programas de rastreo de puertos y direcciones, sin revestir un peligro importante".

Por esta razón, Interior se limitó en el pasado a advertir a los administradores de la red sobre la existencia de estos incidentes y a pedirles que adoptasen medidas para evitar su repetición. Sin embargo, la situación cambió tras el fin de semana del 6 y 7 de junio, cuando se produjo un ataque que, según el informe, "sí puede ser considerado delito, ya que se encontraba encaminado a extraer información clasificada de los sistemas pertenecientes al acceso Internet Corporativo".

La denuncia presentada en el juzgado explica que "el sábado 6 de junio de 1998 a las 01.22.54 el ordenador del Ministerio del Interior de nombre ulises.mir.es registra un intento de acceso no autorizado a los ficheros /etc/hots y /etc/passwd y posteriormente la sustracción de los mismos con destino en la dirección de correo electrónico terapia83@hotmail.com ubicada en un ordenador de Estados Unidos". "El fichero /etc/hots contiene la estructura de la red informática exterior del Ministerio del Interior", según la denuncia, y el "/etc/passwd contiene los datos y palabras de paso de los usuarios contenidos en el ordenador ulises.mir.es.".

Del texto de la denuncia se deduce que la acción de los hackers sólo afectó a la red informática externa del departamento y no a la interna, donde se almacenan los bancos de datos sensibles, por ejemplo los referidos a investigaciones policiales, el fichero del DNI o del personal de las Fuerzas y Cuerpos de Seguridad del Estado, como aseguró el subsecretario de Interior, Leopoldo Calvo-Sotelo, el pasado día 18, después de que EL PAÍS desvelase la existencia del ataque.

Sin embargo, en contra de lo asegurado por Calvo-Sotelo, no se trató de un intento fallido, ya que los hackers sustrajeron los ficheros que permiten controlar el ordenador externo del Ministerio del Interior y los almacenaron en la cuenta de correo electrónico terapia83@hotmail.com.

Estos ficheros tienen carácter clasificado, lo que explica que la denuncia se interpusiera por un presunto delito de revelación de secretos, que el artículo 197 del Código Penal castiga con penas de prisión de uno a cuatro años y multa de entre 12 y 24 meses.

La dirección terapia83@hotmail.com. corresponde a una cuenta de correo electrónico de la empresa Hotmail Corporation, con sede en Sunnyvale, California (EE UU), que es la primera suministradora mundial de cuentas de correo gratuitas, con más de 10 millones de usuarios.

Los ataques se lanzaron de forma coordinada desde varios dominios o grupos de ordenadores ubicados en Estados Unidos: geocities.com., en Santa Mónica (California); exodus.net., en Santa Clara (California); tripod.com., en Williamstown (Massatchussets); hotbot.com., en San Francisco (California); y nettaxi.com., en San José (California).

Para identificar a los hackers, los investigadores han pedido ayuda al Grupo de Trabajo de Interpol sobre Delitos Relacionados con la Tecnología de la Información y al NIPC (Centro Nacional de Protección de Infraestructura) del FBI.