Amistades peligrosas. Agentes de la Policía Nacional han detenido en Madrid a un hacker que atacó la página web de la Mutualidad General de la Abogacía para apoderarse de los datos personales de más de 155.000 mutualistas, entre los que se encuentran importantes personalidades.
Se trata de un ex comandante de artillería, anteriormente destinado en inteligencia militar, que usó proxies chinos para enmascarar las conexiones. Al parecer, actuó motivado por la enemistad con uno de sus vecinos, administrador de sistemas de la Mutualidad, a la postre también detenido por leer correos electrónicos ajenos con información privilegiada.
La investigación se inició en septiembre de 2008 sobre un acceso ilegitimo al área privada de diferentes miembros de la Mutualidad General de la Abogacía en su página. Además, se habían transferido diferentes cantidades desde las cuentas bancarias asociadas de los mutualistas a sus planes de previsión, aunque estas aportaciones fueron retrotraídas a las cuentas bancarias de origen en cuanto se detectó la intrusión.
Los agentes averiguaron también que varios mensajes anónimos de correo electrónico habían sido enviados a varios mutualistas, informando de la falta de seguridad de la web de la mutualidad, para lo que se adjuntaban como prueba datos personales de los propios mutualistas. Además, durante el año 2008 más de 400 emails intercambiados entre miembros de la mutualidad (fundamentalmente directivos) y terceras personas habían sido reenviados a una cuenta de correo externa.
Durante la investigación la Policía ha podido determinar que la dirección de correo electrónico desde la que se enviaron los anónimos era consultada desde una única conexión a Internet. Desde esta dirección IP se habían producido también los accesos ilegítimos a los perfiles de los mutualistas y las aportaciones económicas a sus planes de previsión.
Esos anónimos eran enviados usando el pseudónimo Tedcazinsky, en referencia a un terrorista que fue detenido en 1996 y condenado a cadena perpetua por el envío postal de artefactos explosivos que causaron tres víctimas mortales y 23 heridos. Estos atentados tenían como finalidad alertar a la sociedad de la pérdida de libertad que producía el desarrollo de la tecnología en el ser humano.
El acceso a los perfiles se efectuaba utilizando el nombre, DNI y fecha de nacimiento de los mutualistas, datos que eran obtenidos en fuentes abiertas u otros medios como la sustracción de información personal. Una vez que se accedía por primera vez con estos datos, el sistema asignaba automáticamente una clave para las sucesivas ocasiones. Así se accedió al área privada de alrededor de 40 mutualistas y se llegaron a realizar aportaciones al plan de pensiones de hasta 12.000 euros a unos diez. El primer mutualista suplantado por el hacker fue un ex alto responsable político.
Más de 150.000 registros
Del análisis de los sistemas informáticos objeto de intrusión, los agentes comprobaron que mediante técnicas de hacking conocidas como inyección SQL se habían extraído de la base de datos de la mutualidad más de 150.000 registros con datos personales de los mutualistas y sus credenciales de acceso a la zona privada de la web de la mutualidad. Para ello se utilizaron varios proxies, fundamentalmente de China, para encaminar las conexiones y enmascarar así su origen real.
Los investigadores identificaron y lograron detener a la persona responable de los ataques informáticos, un ex comandante de artillería de 54 años, en situación de reserva, destinado anteriormente a cometidos de inteligencia militar. El ex comandante pretendía demostrar la vulnerabilidad de la página debido al enfrentamiento con uno de sus vecinos, administador de sistemas de la Mutualidad. Los agentes averiguaron asimismo que dicho administrador de sistemas y vecino del hacker era el responsable de la interceptación de las comunicciones electrónicas de los directivos, por lo que también fue arrestado. En su caso, actuaba movido por la obtención de información privilegiada. La investigación ha sido desarrollada por agentes de la Brigada de Investigación Tecnológica (BIT) de la Comisaría General de Policía Judicial
Via:elpais.com