El sainete del CESICAT, o cómo el ‘hacktivismo’ perdió la inocencia
Lo sabían. Los hacktivistas españoles sabían que la policía les observaba. Lo sabían pero no eran totalmente conscientes, porque no había pruebas. Los más veteranos se escondían tras un apodo y hablaban en redes privadas. Pero los nuevos, ¡ah!, esos acaban de caerse -y bien- de la parra: los papeles del CESICATconfirman la monitorización policial de quien lucha desde las redes.
La filtración de Anonymous ha puesto de manifiesto la existencia de operaciones de contraguerrilla cibernética por parte de una fundación pública cercana a los Mossos d’Esquadra. Operaciones que incluyen la creación de informes detallados sobre ciudadanos que usan las redes para expresar su descontento, aunque sean las bravuconadas de cuatro adolescentes. Días antes de saltar este escándalo, los partidos de izquierda catalanes habían denunciado que los Mossos hacían listas ilegales de personas no fichadas, algo que negó el Govern. En aquel momento no había pruebas, pero ahora sí.
Ya nada será igual en la cada vez más amplia comunidad hacktivista catalana y española que, aún anonadada, se ha visto en el espejo de los informes que reproducen las fotos que mandó Pepita, lo que retuiteó Juanito, y señalan quién inventa las consignas o quién «incita a la violencia», todo pasado por el turmix de una herramienta más bien cutre de ‘Community Manager’, con gráficos de colorines y estadísticas.
Qué es CESICAT
Según desvelan los papeles liberados por Anonymous, esta información se mandaba a los responsables del CESICAT (siglas de Centre de Seguretat de la Informació de Catalunya): su presidente,Carles Flamerich, un cargo político de Convergència i Unió, y su director, Tomàs Roy, a quien la fiscalía ha denunciado por otorgar contratos públicos a dedo.
La fundación CESICAT, creada para promocionar la seguridad informática en Catalunya y, a la vez, Centro de Respuesta a Emergencias Informáticas (CERT) de la Generalitat, se dedicaba también a otras tareas, como crear manuales para los usuarios, entre ellos una guía sobre uso seguro de las redes sociales y otra deprivacidad en Twitter.
Suena a burla, sí. También que se ponga a hacer tareas policiales y de «community manager» a respetados profesionales de la seguridad informática, algunos viejos conocidos de la escena hacker comoXavier Panadero y Carles Fragoso -quien hace unos meses dejó su trabajo en CESICAT-. Bajo sus órdenes trabajaba un equipo de media docena de personas, la mayoría también buenos profesionales de la seguridad subcontratados a través de la empresa Incita (antes TB-Security). Ellos realizaban las monitorizaciones, 24 horas diarias de seguimiento exhaustivo mientras durase el operativo, entre 3 y 5 días.
Un empleado externo de CESICAT hizo saltar la liebre en junio de 2012, justo en la época que se estaban haciendo los seguimientos filtrados por Anonymous. El empleado, consultor de seguridad, denunció públicamente que Panadero había espiado correos suyos ylos había redirigido a Carles Flamerich. El consultor puso una denuncia que actualmente sigue su curso, pero nadie imaginó entonces que la monitorización fuese más allá de los trabajadores de la fundación.
Respuesta a las filtraciones
Cuando Anonymous empezó a publicar por entregas, cada uno o dos días, los informes que demostraban la auténtica magnitud del seguimiento, empezó también una carrera del ratón y el gato donde CESICAT se apresuraba a exigir a los sitios web que los alojaban, como Dropbox o Pastebin, que los retirasen, aduciendo que eran de su propiedad. CESICAT usó para ello su «sombrero» de CERT, que da más respetabilidad a nivel internacional.
Los CERT fueron los primeros organismos dedicados a la seguridad en Internet. Antes que cualquier cuerpo de policía en el mundo, desde finales de los 80 y durante años fueron los únicos vigilantes de las redes. Hay cientos repartidos por todo el mundo y conectados entre ellos, financiados por universidades, empresas y gobiernos. Cuando un CERT le dice a alguien que retire algo de la red no es ninguna broma. A la vez, como club privilegiado de expertos en seguridad, se les supone organismos casi inexpugnables. ¿Quién, entonces, pudo saltar sus barreras y robar los informes?
Quién ha sido
Anonymous ha explicado que asaltó el ordenador de Xavier Panadero, posiblemente su portátil personal. Se supone, aunque Anonymous no lo afirma, que estaba contactado a la red del CESICAT, la cual está dentro de la red de la Generalitat. Fuentes consultadas aseguran que no es fácil entrar a esta red desde fuera, siendo lo más probable que el intruso estuviese dentro de Generalitat, bien porque trabajase allí o en una empresa subcontratada que tuviese acceso.
Aunque esto acota bastante el quién lo hizo, la respuesta sigue sin ser fácil. Algunos apuntan a la mala situación económica de la empresa Incita, en bancarrota y con mucho malestar entre sus trabajadores, que podrían haber llevado a cabo esta acción como denuncia. Cabe destacar que TB-Security (ahora Incita) tiene estrecha relación también con los CERTs de La Caixa, el gobierno valenciano y el español (el CCN-CERT).
Otras teorías apuntan a empleados descontentos en el propio CESICAT, a un golpe bajo a nivel político contra los responsables de la fundación y, como última opción, al colectivo Anonymous, quien contempla esta película más desde el desconcierto que el control de la situación. Pero uno de los documentos liberados con la máscara de Guy Fawkes afirma que sí, que es una venganza por los contenidos de Anonymous que CESICAT ha retirado de Internet: «Una de nuestras operaciones con soporte internacional fue acceder a equipos de este ente y lo conseguimos. Vista la muerte lamentable del Raval y como estos contenidos eran retirados sistemáticamente, perdemos el control de los equipos pero liberamos la información».
diario el mundo