GorraLeaks: El caso Smaldone y el riesgo de saber de informática
El pasado 8 de octubre a la mañana irrumpieron en el domicilio en CABA de Javier Smaldone, esposándolo y realizándole un allanamiento sin explicarle el porqué. Luego se lo llevaron detenido a la sección de delitos tecnológicos de la Policía Federal Argentina para horas después dejarlo en libertad. Al final del día le informaron que se encontraba imputado en una causa donde se lo investiga como posible autor de la "filtración" de datos denominada GorraLeaks 2.0 según consta en un informe policial del expediente.
La información filtrada en la deep web posee desde nombres de agentes encubiertos hasta datos bancarios, pasando por huellas digitales y escuchas telefónicas. La acusación es grave. Las pruebas concretas de que haya sido Smaldone el autor del "hackeo" (en el informe también utilizan esta palabra entre comillas) no existen.
Javier es un referente en el mundo de la seguridad informática de Argentina que viene alertando desde hace años diferentes vulnerabilidades en sistemas, aunque principalmente sobre el Voto Electrónico. Pero no fue el único. En el año 2015, Joaquín Sorianello, también alertó sobre las máquinas de MSA (que se utilizaron para votar en la Ciudad de Buenos Aires) y lejos de agradecerle lo allanaron generándole otra causa que llevo años solucionar donde luego quedó sobreseído. Tanto a Javier como en su momento a Joaquín los despojaron de sus dispositivos electrónicos.
Además de Smaldone, también hay otros especialistas en seguridad informática que también denuncian fallas a través de Internet. Están en la mira de las fuerzas de seguridad, lo saben y lo viven, por una simple razón: por tener más conocimiento de la tecnología que quienes deberían tenerlo. Al menos eso surge del informe por el cual se lo acusa a Smaldone: "Tiene conocimientos de programación en diferentes lenguajes y es un usuario activo de la red Twitter". La misma red donde gran parte de la comunidad informática, apoya de manera pública y cree en la inocencia de Smaldone.
Pero en esta causa o acusación en particular tiene varios ingredientes especiales que para muchos pasan de largo, por empezar la acusación utiliza la palabra "filtración" y no hackeo. En el ámbito de la seguridad e inteligencia son dos cosas totalmente opuestas, pero se siguen mezclando. Algo similar sucedió con Edward Snowden cuando muchos lo llaman hacker y no es hacker.
Repasemos los significados para esta temática "en criollo": Hackeo es la intrusión externa indebida a un sistema informático. Filtración es cuando información (clasificada o no) sale de adentro de un lugar hacia afuera de manera pública. A Smaldone se lo detiene, allana y acusa por hackeo cuando en los informes se lo acusa de filtración (pero en un análisis previo habla de ataque informático refiriéndose a phishing y -así y todo, técnicamente- phishing no es un ataque literal sino un engaño hacia quién no está capacitado) aunque está considerado delito por ser un fraude informático en el Código Penal Argentino. Y para que él haya sido el responsable de la filtración tuvo que tener previo acceso a esa información y por supuesto pertenecer a la fuerza. Cosa que no es así. En el mundo de la inteligencia y seguridad la filtración de información no cualquiera puede realizarla porque sí, por más que quisiera. El acceso a la información irrestricto no quiere decir que si se filtrase todo: todo serviría. Definitivamente no. Para que la información sea relevante la misma debe ser seleccionada y curada, sabiendo delicadamente que intereses afectar y a quienes perjudicar. Eso no lo puede hacer nadie más que alguien que conozca de qué y de quienes se está divulgando información. Por eso la misma fuerza lo llama "filtración". Entonces, ¿cómo llaman filtración a algo que quieren imputar como un hackeo o phishing?.
El informe policial comienza con un disclaimer (advertencia inicial) que dice que todas las pruebas (capturas de pantalla en su mayoría de Twitter) por separadas no dicen nada pero que si se las agrupa en el contexto de la investigación "reducen incertidumbres". Con leerlo se deduce que no es así. Luego sugiere agrupar indicios como por ejemplo: "Intereses en común", "avisar de otra causa llamada Quema Controlada", "ofrecer diversas notas en medios de comunicación como técnico o consultor", "informar nuevamente otra filtración de bases de datos de Policía de la Ciudad", "Sitio web de La ciudad de La Plata", "a la web electoral de Chaco", "Policía de Cordoba", "Escuchas de la causa Nisman" y así con otra decena.
Sería como si un medio de comunicación que por Twitter informe sobre hechos de inseguridad, luego sea allanado y detenido sólo por tener información congruente con el hecho en el momento que la informó en las mismas fechas que el hecho sucedió.
Pero la peor parte de la acusación llega cuando a Smaldone se lo hace responsable por "obtener y recopilar información de terceras partes que le permiten hacer un análisis" u "vinculaciones" con otros usuarios de Twitter. Cuando, Twitter, es una red social cuya finalidad es interactuar con otros usuarios. Ni hablar de un cuadro sinóptico que se encuentra al final del expediente donde se mezcla todo con todo (literal) en un diagrama que utiliza terminología incorrecta como por ejemplo "REGISTRADOR" para un dominio y termina "acusando" a Smaldone por administrar sistemas y programar en Java y Phyton.
En las últimas hojas del expediente se puede ver información de un registro de dominio y servidores, que según quién realizó la investigación: "Todo tiene que ver con todo y Smaldone prácticamente se autoincrimina a través de sus tweets y él es el culpable".
En las conclusiones del informe escriben sobre "metodologías similares de ataques de phishing" a la Superintendencia del Bienestar de PFA y vuelve a repetir que las pruebas no son determinantes, pero que si se las junta: "permiten determinar un grado de sospecha fundada". Es decir: no hay pruebas concretas, contundentes ni nada similar.
Sobre este último organismo cuando se informó sobre el engaño de phishing, Superintendencia del Bienestar de PFA, dejó expuesto que sucedió técnicamente por algo que es totalmente ajeno a Smaldone, es grave y pasa en casi todo el ámbito estatal: no utilizan direcciones de mail acordes con el organismo (ejemplo finalizadas en .gob.ar), sino que lo hacen con direcciones de Hotmail y quienes abren los correos no están correctamente capacitados para evitar ser víctimas de phishing. ¿Qué tiene que ver Javier Smaldone con esto? Si hasta la misma Cancillería cada vez que hace invitaciones en el R.S.V.P. pone como remitente direcciones de email de Hotmail, Yahoo o Gmail porque hasta ahora no hubo un solo gobierno en este país que logre implementar correctamente el correo electrónico en organismos estatales dejando abierta la posibilidad de que estas cosas sucedan. Los organismos públicos de Datos Personales como también de Ciberseguridad estatal miraron a otro lado con este y otros temas similares a lo largo de todo el mandato.
Datos vulnerados
La situación que enfrentó Smaldone, terminó de agravarse con las siguientes consideraciones:
- Se le pidió a Nación Servicios (Tarjeta SUBE) que informe que si existen tarjetas asociadas con el DNI de Javier y sobre los movimientos. Cuando se creó esta tarjeta el gobierno (anterior) dijo que la SUBE jamás sería un método de control y observación por parte del estado: Falso.
- Se le solicitó a Mercadolibre S.R.L. que informe sobre en qué lugar se realizó una compra. Es decir, en el momento que se realizan compras con MercadoLibre también se está capturando el lugar geolocalizado (independientemente de la dirección IP de la conexión) desde donde se realizó la operación. Sorpresa.
- Se le requirió a Telecom Argentina (por Personal) que "informe la dirección de email asociada al WhatsApp" cuando al WhatsApp se asocian números de teléfono y no direcciones de email. Impericia.
- Se mezcla saber con hacer: Se acusa a una persona por tener más conocimientos que quienes deben realizar las investigaciones y/o juzgar. Ni hablar de quienes deben garantizar los derechos de los ciudadanos. Grave.
- Algunos mal medicados paralelamente están queriendo impulsar en la justicia el "allanamiento remoto digital" lo cual en este país con el poco conocimiento que hay y lo que un "allanamiento remoto" conlleva, es un peligro y puede ser el fin de la privacidad para cualquier persona lo que es totalmente inconstitucional. Delirante.
- No hay responsabilidades determinadas en ningún ámbito de las fuerzas de seguridad y organismos gubernamentales civiles sobre aquellos que tienen la obligación de mantener la integridad y disponibilidad de la información clasificada, utilizando las mejores prácticas en seguridad informática, actualizando servidores, capacitando personal y teniendo controles en tiempo real sobre las redes. Insólito.
- Cuando se realiza el allanamiento se lo despoja de absolutamente todo lo tecnológico por pedido en la orden de allanamiento y esto no es correcto para cualquier persona por las siguientes razones:
o Pueden ser elementos de trabajo.
o Obviamente cualquier persona de sistemas puede tener varias computadoras, elementos de almacenamiento, etc. Y tranquilamente se pueden hacer las pericias correspondientes clonando la información sin necesidad de secuestrar la totalidad. Esto demuestra que no se sabe lo que se está buscando específicamente porque quien lo tiene claro: especifica que está buscando y de esta manera también se ahorra tiempo y recursos del estado. E incluso con la nube existe la posibilidad de que lo que se puede estar buscando quizá no está en ningún elemento físico del lugar físico que se allana. E evita dañar el patrimonio del acusado.
A todo esto, con los allanamientos de dispositivos tecnológicos para cualquier ciudadano la justicia aún no puede garantizar, resguardar y determinar los siguientes interrogantes: ¿Qué sucede con la información recolectada, clonada, y revisada luego de que finaliza la causa o al menos las pericias? ¿Qué sucede si esa información aparece publicada en Internet como sucedió con otras causas en el pasado? ¿Qué conocimiento tienen quienes investigarán? ¿Las mismas personas y conocimientos de quienes hicieron el informe? ¿Qué sucede con toda la información de la vida digital de cada persona que nada tiene que ver con cualquier tipo de acusación que puede contener una computadora, celular o memoria donde puede se puede ver desde la orientación sexual de cada persona, inclinación política, elección religiosa si la tuviese, hasta fotos o conversaciones íntimas, familiares? ¿En dónde queda el Art. 19 de la CN con una justicia que con una sóla contraseña puede acceder no solamente a las fechas que se requieren sino a todo un historial de fechas in eternum entre otras cosas de los lugares geolocalizados donde se estuvo, como llamados, fotografías, conversaciones, etc.? Hay personas en la justicia que hasta incluso creen que terceros por poseer información encriptada o cifrada (por un simple derecho de privacidad) pueden estar escondiendo algo.
Y por sobre todas las cosas: ¿Por qué ningún ciudadano está exento de que le suceda exactamente lo mismo que le sucedió a Javier Smaldone por el solo hecho de tuitear y tener conocimientos de informática?
Si se desea ver el escaneo del informe de PFA publicado por el mismo Javier Smaldone se encuentra disponible en Twitter.