viernes
7 y 9
7 y 9
La historia de un hacker que burla la seguridad del Estado
Pesca errores en las páginas webs y por ahí se ha metido para acceder a más de 1TB de información confidencial de MinInterior y la Gobernación de Antioquia.
-
Ha encontrado más de 300 errores en páginas webs gubernamentales. Foto: El Colombiano -
Así permaneció la página web de MinInterior durante unos días. Anexada con una página de apuestas. Foto: captura de pantalla -
Así luce el WordPress de la página web de la Gobernación de Antioquia, lugar al que se supone que sólo accede el administrador y proveedor del sitio qeb, pero que Org0n logró acceder por medio de algún error que hay en su código. Foto: captura de pantalla. -
A veces, deja algún mensaje al administrador sobre el error que se presentá en la página web, está también es de la Gobernación de Antioquia, pero como no hay una respuesta. Cambia el aspecto visual en alguna sección con el mensaje de “Org0n estuvo aquí” Foto: Captura de pantalla -
En el archivo público de cibercrimenes y ciberataques Zona-H, se encuentra registro de todas las páginas webs de Colombia, Perú, Alemania, EE.UU, México entre otras, en las que Org0n encontró un error y realizo algún defacement y otros ciberataques. Foto: Captura de Pantalla
05 de marzo de 2023
bookmark
Un hacker, un ciberdelincuente o blackhat no es como en las películas en las que aparece alguien detrás de un computador, en un cuarto oscuro, con la capota del saco ocultando su rostro, y oprimiendo teclas de manera desenfrenada. Este hacker, que se presenta bajo el seudónimo Org0n –como su cuenta de Twitter–, vive en una zona rural de Colombia, tiene pésima conexión a internet y un PC lento.
Org0n pasa sus tardes visitando páginas web tratando de cazar un error por el cuál colarse. Una vez adentro, depende de lo que encuentra, extrae información confidencial o cambia el aspecto visual de la página o deja embebida una pauta de páginas de apuestas.
Desde 2015 está dedicado a este tipo de activismo –así lo considera él– y ya ha encontrado errores en cerca de 300 páginas de internet institucionales en Colombia, Argentina, Perú y México. Coloquialmente se conoce como hackeo, pero al tipo de ataque que más hace Org0n se le llama defacement, con el cuál trata de cambiar la apariencia visual de las webs.
En las últimas semanas extrajo más de un 1TB de información de las Fuerzas Armadas, de la Gobernación de Antioquia y del Ministerio de Interior. Desde copias originales de cédulas hasta cuentas y contraseñas bancarias que utilizan funcionarios públicos y que dejan registradas en los servidores.
Para él es muy fácil, no necesita de links maliciosos o instalar virus (malware), le basta con encontrar algún error que haya dejado el proveedor de cada una de estas webs y por ahí se cuela sin dejar rastro.
Así permaneció la página web de MinInterior durante unos días. Anexada con una página de apuestas. Foto: captura de pantalla
Org0n no es como Guacamaya –los hackers que robaron megapaquetes de datos de la Fiscalía y Fuerzas Armadas– o BlackCat –los que se metieron en EPM–, que utilizan algún malware para extraer información. “Yo soy es un pentester”, es decir, que busca en la web para ver si –relata– “la página tiene un error por el que me pueda registrar como administrador”.
Así luce el WordPress de la página web de la Gobernación de Antioquia, lugar al que se supone que sólo accede el administrador y proveedor del sitio qeb, pero que Org0n logró acceder por medio de algún error que hay en su código. Foto: captura de pantalla.
Org0n es autodidacta: “Cuando estaba aprendiendo, le decía a mi mamá o a mi papá regáleme $2.000 para dos horitas de internet... Dénme dos luquitas. Y con eso iba al café-internet y ahí me quedaba aprendiendo. ¡Y mira ahora donde voy!”.
Su primer “hackeo” fue en 2015, cuando logró cambiar las características y ciudad de su dragón en el juego “Dragon City”, de Facebook. Vendió en línea algunas cuentas del juego con mejoras.
Luego fue conociendo en blogs a activistas de grupos como Anonymous o Lulzsecurity. Uno de los ataques más importantes en los que participó fue en 2020, la cuenta de Twitter @YouAnonCentral (Anonymous), con más de “9.000 bots”, logró que se cayera la página web alvarouribe.com.co. Y durante el paro de 2021 hizo parte del equipo que, según dice, tumbó varias páginas de Policía Nacional y del Ministerio de Defensa.
Ahora se ha dedicado a publicar en Twitter los errores que descubre y los ataques que hace a páginas oficiales. Hace cinco días, por ejemplo, se coló en los sitios de la Asamblea de Antioquia, de la Secretaría de Seguridad, de la Fábrica de Licores, de la Secretaría de Tecnología, entre otros. Y dejó las pruebas en su cuenta de Twitter.
A veces, deja algún mensaje al administrador sobre el error que se presentá en la página web, está también es de la Gobernación de Antioquia, pero como no hay una respuesta. Cambia el aspecto visual en alguna sección con el mensaje de “Org0n estuvo aquí” Foto: Captura de pantalla
Org0n explica que antes intentaba comunicarse con los administradores de las páginas para reportar el error. Pero nunca le respondieron. Por eso ha decido dejar huella de sus incursiones: modifica una sección o agrega una nueva, deja mensajes como “Org0n estuvo aquí”, inserta memes y emoticones; o deja indexada alguna página de apuestas para generar tráfico. “Una vez localizo el error, ya tengo acceso a la página y a sus dominios, me registró y dejo subida una imagen o archivo”, explica.
Como prueba de sus operaciones, Org0n muestra el acceso a información confidencial de funcionarios públicos. Además de las ya mencionadas, la página web de la alcaldía de Pasto, la de quejas y reclamos de MinInterior y algunas de universidades públicas.
“La gente dice que porque uno hackea es millonario, pero se equivocan. La verdad, no es así”, dice.
Por ahora, lo que Org0n pone al descubierto es la gran brecha de seguridad que hay en las páginas de internet del Estado en Colombia. Puertas que autodidactas como él pueden abrir con facilidad. Páginas creadas en la versión más económica y básica de WordPress (ver foto), sin protocolos de seguridad, son indicios de descuido administrativo.
En el archivo público de cibercrimenes y ciberataques Zona-H, se encuentra registro de todas las páginas webs de Colombia, Perú, Alemania, EE.UU, México entre otras, en las que Org0n encontró un error y realizo algún defacement y otros ciberataques. Foto: Captura de Pantalla
De hecho, desde el año pasado a varias entidades del Estado les han secuestrado sus datos. Solo algunas de ellas, como el DANE, la Fiscalía y EPM, han hecho públicos los ataques. Pero son muchas más. Org0n dice tajantemente que él no ha participado en ninguno de estos grandes ataques.
El Gobierno Nacional se encuentra en el diseño una Agencia Nacional de Seguridad Digital, que dicen los entendidos acabaría con el Conpes 3995 de 2020 y el Decreto 338 de 2022. El Ministerio de Defensa, según la base de datos de contratación del Estado, el Secop, paga más de $ 700 millones en capacitaciones y estudios en ciberseguridad.
Andrés Velásquez del Laboratorio de seguridad digital y privacidad de la Fundación Karisma, explica han trabajado en buscar rutas con el Estado para que la gente reporte esta vulnerabilidad, pero “no hay una ruta clara para reportar estos errores o fallos”.
Al revisar las pruebas que envió Org0n, Erick Iriarte, peruano especialista en derecho digital, dice que se evidencia “negligencia administrativa porque no hay ningún mecanismo de resguardo adecuado de las contraseñas” en estas web gubernamentales, lo cuál revela una brecha de seguridad importante.
En MinInterior ya bajaron la publicidad de las apuestas, pero no hubo mayor pronunciamiento. Por otro lado, desde la secretaria de las TICS de la Gobernación de Antioquia respondieron que la mayoría de esos sitios están inactivos o en mantenimiento y que ya se encuentran en el rastreo de los errores y fallos .
Te puede interesar
El empleo que busca está a un clic
