Un hacker crea un programa para rastrear webs ocultas en Tor

“Yo odio a los pedófilos y lo único que quería era ayudar a desmantelar este tipo de páginas. Ahora ya no se me vuelve a ocurrir hacer nada por nadie”. Con estas palabras da comienzo, o finaliza (según se mire), el relato del experto en seguridad que ha creado una herramienta por la que por primera vez se puede rastrear la red Tor. Sus implicaciones en la búsqueda de redes de pederastia por lo profundo de la web le ha costado la detención y que fuera tratado como a uno de sus perseguidos.

“Fue en noviembre [de 2012] cuando desarrollé un programa que rastreaba e indexaba esas webs ocultas y lo tuve ejecutándose un par de meses, en los que obtuve más de 100.000 webs catalogadas por diferentes etiquetas para identificar el tipo de páginas que eran”, explica el implicado al que llamaremos Hache.

“Aparecieron multitud de páginas y foros de pederastas, incluso te encontrabas con mensajes de los administradores regocijándose porque llevaban x años online y que nunca les había ocurrido nada... como si fuera una ciudad sin ley donde pueden campar a sus anchas”.

Es en la denominada Deep Web donde confluyen todo tipo de actividades ilegales como venta de armas, tráfico de drogas, pedofilia, asesinos a sueldo, y cuyo sistema imperante es la red TOR (The Onion Router) prácticamente imposible de rastrear y de identificar la identidad del usuario impidiendo así cualquier intervención externa. De ahí la importancia de la creación de un programa capaz de rastrear este submundo cibernético. Sin embargo, En España, la reforma del Código Penal de 2010 añadía el artículo 197/3 en relación con el acceso a sistemas, que establece que: “El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años”. Es decir, no distingue entre si son intrusiones para comprobar medidas de seguridad o si son intrusiones con finalidad ilícita.

“Sabía de las implicaciones legales -explica Hache-, pero continué y en varias webs conseguí encontrar fallos que permitían extraer toda la base de datos, incluido el listado de usuarios (en uno de ellos había más de 30.000 pedófilos registrados). Realicé varias aplicaciones para extraer la base de datos de forma semi-automática de estas páginas con fallos y envié los programas al Grupo de Delitos Telemáticos de la Guardia Civil (GDT) por si les era de utilidad”.

Atrapado en la red

Dos meses más tarde, siete agentes de la Policía judicial le esperaban en el garaje de su domicilio con una orden de registro en la mano prestos a realizar la detención.

“La investigación procedía del FBI y la Europol y por mucho que dijeran que habían rastreado mi IP desde el foro concreto del que se me acusaba una supuesta pertenencia, esta red va cifrada” asegura Hache, “la única forma que hay de obtener datos es monitorizando nodos origen, donde las comunicaciones van sin cifrar, algo que hace el FBI de forma habitual”. Por lo que parece toda la operación surgiría de un servidor del FBI por el que controlan y monitorizan las conexiones que pasan por ahí para tener controlado a quien se descargue imágenes y eso, en principio, según fuentes jurídicas de la Fiscalía, podría ser un agente provocador, una figura que no está contemplada en nuestro derecho, y que haría impune los delitos investigados.

“En cuanto al trato, aparte de que uno a uno me iban presionando, a su forma, para que 'cantara', en general puedo decir que no se portaron mal, salvo el típico borde que te humilla psicológicamente con preguntas o sugerencias como que soy gay, neonazi, que necesito ayuda psicológica, que es mucha casualidad que me pasara dos veces, etc. A pesar de todo, quiero que conste que la GDT hizo todo lo posible por ayudarme y sacarles del error”.

En el registro realizado en el domicilio de Hache, aún en el supuesto de haber encontrado imágenes, éstas se habrían almacenado de forma temporal en el ordenador por lo que no es delito. “En su día hubo una propuesta para que en la última modificación del Código Penal en 2010 se incluyera como delito, pero no se llegó a hacer”, informan desde la Fiscalía. “Si hubiera un canal tipo youtube para ver ese material en principio no sería delito. Sería del que pusiera el video a disposición de los demás. Pero descargar el archivo para guardarlo sí es posesión”.

“En España luchar contra esta gente es complicado porque la ley siempre les ampara” afirma el hacker, “pero sería muy sencillo realizar una aplicación que descargara todas esas fotografías de niños y anotara los hashes o huellas de los ficheros, de manera que luego se puedan buscar en las redes P2P o en los ordenadores incautados de pedófilos”

Lo que sí hicieron, en su caso, fue llevarse todos los dispositivos electrónicos, discos duros, memorias, portátil, Ipad, discos multimedia, “hasta las antenas wifi”. Según las mismas fuentes jurídicas de la Fiscalía, “la unidad que lleva a cabo las periciales informáticas, para examinar los ordenadores y hacer la pericial que puedan valer en el juicio, es muy pequeña, de 14 ó 16 personas para toda España, por lo que tienen un atasco de materiales pendientes de análisis de varios años de retraso. Pasarán varios más hasta que devuelvan el material incautado”.

El hecho de que él colabore con el cuerpo de Policía no le ha dado ningún estatus especial. “La coordinación entre las diferentes fuerzas del estado es deplorable, no tienen información cruzada. Si se hubieran informado antes habrían visto quién soy realmente”, se lamenta Hache.

Cuidad sin ley

No era la primera vez que Hache colaboraba “por iniciativa propia” con los diferentes cuerpos policiales del Estado. “Fue en agosto de 2010 cuando llegué a una web donde se hablaba de un foro 'pedo', y donde todo el mundo estaba alarmado por la libertad con la que la gente escribía de temas de menores en él. Como analogía, imagina que un hombre le está pegando a una mujer en mitad de la calle y hay un corro de gente mirando y diciendo cosas...pero nadie ayuda. Decidí hacer una auditoría de seguridad de la web y hallé una serie de cosas”.

Las pesquisas de Hache le llevaron a descubrir que a pesar de estar registrada tras un dominio anónimo y tratarse de un foro internacional, la IP estaba en Barcelona y pertenecía a un cliente de Jazztel, y que tras el dominio había muchas carpetas ocultas con copias de otros foros previamente desmantelados por las fuerzas del estado en anteriores operaciones policiales. “Además, como la web era una versión antigua de Joomla, intenté buscar fallos de seguridad para extraer los datos de los pedófilos, pero tenía bastantes protecciones y finalmente desistí”. Después de denunciarlo a través de internet a los diferentes cuerpos policiales del Estado, alertó a algunas asociaciones antipedofilia, y así quedó la cosa.

Cuatro meses más tarde, a las ocho de mañana, siete agentes de la Guardia Civil y un agente judicial con una orden de registro, aparecieron en la puerta de su casa y, tras entregarle una denuncia, procedieron a inspeccionar el domicilio. Dicha denuncia indicaba la web a la que supuestamente había accedido y que el motivo del registro era una posible vinculación a un grupo de pederastas.

“Al principio estaba desorientado, pero tras leerlo y reconocer la web en cuestión, les conté todo y les mostré los mails con las denuncias. Acto seguido llamaron a sus superiores en Madrid -era una operación de los Mossos d’Esquadra- y en unos minutos cancelaron la orden de registro y únicamente se llevaron mis dos discos duros del PC, por rutina”. Esta vez no hubo detención. Le llamaron a declarar al cuartel y un mes más tarde ratificó la declaración en el juzgado con su abogado.

El delito de ser hacker

“[Hache] es un hacker reputado, ha dado conferencias sobre seguridad en la web y sobre los peligros de TOR”, dice al diario.es otro miembro de la escena hacker que prefiere mantenerse en el anonimato, “sus denunicas de gente por conductas relacionadas con pornografía infantil han acabado con la desarticulación de algún foro de pederastas”. El foro al que se refiere, y el que relataba Hache, fue el de protegenos.com, que fue desmantelado en 2010 y que se saldó con 8 detenidos y una veintena de registros.

Este es uno de los muchos foros y páginas que transitan por la periferia de internet y pueblan un submundo oscuro y depravado. Según la Interpol a comienzos de 2013 su base de datos tenía 3.000 víctimas identificadas en 40 países. Solo en España se han detenido a más de 16.000 pedófilos.

En este sentido, fuentes cercanas a la Fiscalía de delitos informáticos se expresa: “De los primeros escarceos policiales en los 90 con piratas informáticos, que eran una vergüenza, a ahora que son una de las unidades más eficaces de Europa, ha mediado un mundo de formación y preparación y muchas veces ha sido gracias a la colaboración de gente como esta. No es cuestión por tanto de tirarnos tiros a nuestro propio pie estigmatizando a la gente que desde el ámbito privado nos está ayudando. Interesa, en virtud de la justicia, que lo mismo que los culpables sean condenados, que los inocentes queden libres de toda culpa lo más rápido posible”.

Para Hache, su servicio ha terminado.