“La seguridad de este país es un asalto a la intimidad de la gente”
- Hablamos con La Nueve, vinculados a Anonymous, el grupo hacktivista que en la noche del miércoles hackeó la página web de la Cámara de Comercio de Madrid
En La Nueve lo tienen claro: “No saldríamos de la cárcel con las últimas modificaciones penales”. Son los hackers vinculados a Anonymous que el miércoles por la noche atacaron la web de la Cámara de Comercio de Madrid y entraron hasta la cocina. Modificaron la cabecera de la página, publicaron alguna que otra noticia a modo de cachondeo y lo más importante: accedieron a todas las bases de datos del departamento. No han liberado la información en Internet por una cuestión de principios: “No exponemos los datos. Mostramos que esto es así”, dicen.
“La mayor parte de los portales institucionales y de grandes empresas mantienen unas vulnerabilidades que están más que publicitadas, dejando miles de datos al aire”, explican a eldiario.es. Los ataques SQLi (como el realizado por los hackers) se aprovechan de este tipo de vulnerabilidades para insertar código malicioso en las librerías de una base de datos. Se sabe cómo se ejecutan y cómo prevenirlos desde 2011, pero, según el grupo hacktivista, muchas corporaciones y entes oficiales siguen sin arreglar esas fallas de seguridad tan simples.
La de Madrid no ha sido la única Cámara de Comercio en la que La Nueve se ha fijado: “Hemos auditado unas cuantas y no nos hemos encontrado con muchos problemas a la hora de explotar vulnerabilidades, algunas muy graves”, dicen.
Todo partió de una encuesta en Twitter a raíz de una noticia en Security Affairs el lunes pasado. Un hacker eslovaco consiguió entrar en la base de datos de la Cámara de Comercio de Eslovaquia y publicó los datos de más de 4.000 personas en pastebin. “Es divertido comprobar lo mala que es la seguridad del Gobierno”, le dijo Kapustkiy al portal.
Denunciando vulnerabilidades: mejor de manera ilegal
A diferencia del eslovaco, La Nueve no ha publicado las bases de datos en ningún sitio, pero sí han avisado en las redes de su hazaña. Han preferido hacerlo así porque si hubieran ido por la vía legal les habrían detenido: “No se puede denunciar esto del modo en que nosotras lo hacemos; gracias a la Ley Mordaza, hacer una auditoría de seguridad de un portal sin autorización de los dueños es un delito”, explican. Por eso airean lo que ya está al descubierto, aunque no se encuentre a la vista de todos: “Lo que nos asusta es que esos datos estén ahí y nadie interponga el 'multazo' debido a sus responsables”, continúan.
De haber avisado en primer lugar a la Cámara de Comercio en vez de a las redes, el caso se habría silenciado. “Lo denuncias a la policía o a la empresa, lo corrigen y carpetazo. Nosotras somos más ácidas, la idea es de qué hablar”, explica La Nueve.
El ataque ha sido una mezcla entre un deface y un SQLi: “Desconfiguramos su web con algunas imágenes y textos chorras. Es acción directa, se entera todo el mundo y a la empresa no le pasa nada pero entendemos que se les cae la cara de vergüenza. Su credibilidad ya queda mermada públicamente”, continúan los hackers.
La Cámara ha emitido un comunicado este jueves donde reconoce el ataque: “La página web de la Cámara de Comercio de Madrid ha sido víctima de un ataque informático. Se está llevando a cabo el proceso de auditoría forense y análisis de vulnerabilidad con el fin de reforzar los accesos afectados”. El organismo presidido por Juan López-Belmonte “denunciará el hecho ante la Policía Nacional”. La web de la Cámara seguía sin funcionar a las 19 horas del día siguiente al ataque.
“Alguien tiene que hacerlo”
La Nueve ha accedido al gestor de newsletters de la Cámara, al gestor de documentos y al CMS para insertar noticias y bloques de texto en la web. Todo en apenas unas horas. “La AEPD debería penalizar estas faltas de seguridad, y sin embargo no lo hace. Nunca multa a la Administración ni a entidades poderosas”, continúa el grupo.
Alemania es uno de los países de la UE que cuenta con más leyes de protección de datos. Y eso a pesar de que septiembre supimos que se habían saltado 18 leyes para espiar a sus propios ciudadanos. “Se deberían adoptar unas medidas muchísimo más eficaces para la protección de datos privados, la seguridad de este país es un asalto a la intimidad de la gente. Es realmente vergonzoso”, continúan desde La Nueve.
Todas las acciones del grupo hacktivista les condenarían a pasar una buena temporada en la cárcel. “Entre el corte político que hemos defendido, nuestras impopulares opiniones y el número indefinido de acciones que ya de por sí suman una pena máxima de prisión, estaríamos enterradas”, reconocen. Fueron ellos quienes en 2012 accedieron a Capio Sanidad (más tarde renombrado como IDC Salud y ahora Clínicas Quirón) y quienes filtraron las cuentas de El Corte Inglés (publicadas en fíltrala). “Somos hacktivistas y asumimos el riesgo que eso conlleva. Alguien tiene que hacerlo”, dicen.
La Nueve, que fue el nombre que adoptó la 9ª compañía de la 2ª División Blindada de la Francia Libre durante la II Guerra Mundial, estaba compuesta por 150 republicanos españoles. Hoy son unos hacktivistas que rechazan de forma contundente la “negligencia profesional informática” de la Cámara de Comercio de Madrid, así como de otros muchos organismos y entes oficiales.