Chuzadas: el entrenamiento en “crackeo” de contraseñas que pidió el Ejército

Las revelaciones del pasado fin de semana sobre las interceptaciones ilegales presuntamente realizadas desde batallones de inteligencia del Ejército en contra de políticos, magistrados y periodistas, prendieron las alarmas sobre un nuevo caso de violación de la privacidad y comunicaciones de personas cuyas posiciones no serían del todo afines al gobierno de turno. Asimismo, permitieron conocer que millonarios recursos adquiridos para labores de inteligencia estarían siendo destinados para estas chuzadas.

Entre esos recursos presuntamente usados para estas acciones irregulares está el Hombre Invisible, un complejo software que incluso permitiría acceder a conversaciones de WhatsApp y Telegram. El Espectador pudo acceder al millonario contrato de compra de este programa informático, que en total llegó a costar cerca de $3.000 millones. En este, además de establecer las condiciones de compra tanto de software como hardware (equipos para el programa funcione), quedaron consignadas otras exigencias del Ejército.

(Puede ver: Chuzadas: las exigencias del Ejército en contrato de software de inteligencia)

El principal requisito de las Fuerzas Militares, además de Hombre Invisible, fue un entrenamiento de por lo menos 32 horas en temas relacionados con “cracking password” -decodificación de contraseñas-. Esta instrucción tendría que ser dictada a seis personas, sin que se especificarse si eran civiles o uniformados. Aún no se conoce si ya se realizaron o no estos entrenamientos, sin embargo, en el contrato quedaron consignados algunos de los temas que el Ejército exigía que fueran impartidos por “profesionales especializados, capacitados e idóneos en seguridad informática y ethical hacking”.   

El Espectador habló con dos expertos en seguridad informática sobre el significado de algunas de las temáticas abordadas en ese entrenamiento. Entre los temas a instruir están los ataques de Fuerza Bruta. Estos, según una experta de la Fundación Karisma, consisten en una técnica a través de la cual se prueban varias “combinaciones / permutaciones alfanuméricas” para poder acceder a un sistema. Este tipo de ataques, de acuerdo con la experta, puede ser dirigidos tanto a computadores, celulares y archivos protegidos con contraseñas.

Una definición similar da Roberto Martínez, analista de Seguridad Senior en Kaspersky y quien asegura que estos métodos de crackeo de contraseñas genera mucho ruido, es decir, intentos fallidos, por lo que, dependiendo el sistema, este puede generar alertas y hasta bloquearse.

(Puede ver: Las herramientas con las que miembros del Ejército habrían chuzado ilegalmente)

Ambos expertos concuerdan en que los ataques de Fuerza Bruta consumen amplios recursos, por lo que se necesita un amplio poder de cómputo y procesamiento, que incluye el uso de tarjetas gráficas. En el contrato de compra del software se puede leer que el Ejército también compró estaciones de trabajo y sistemas de criptografía -para decodificar información encriptada, como lo son las contraseñas- con poderosos procesadores y tarjetas de video de gran capacidad de procesamiento, características necesarias para este tipo de ataques mencionados anteriormente.

Sobre Fuerza Bruta, en el contrato también queda especificado que se necesita que las seis personas escogidas sean entrenadas en ataques no dirigidos o personalizados. Sobre estas temáticas, Martínez señaló que hacen referencia a diferentes enfoques del ataque de Fuerza Bruta: mientras que el no dirigido obtiene las contraseñas de varios usuarios de forma indistinta, el personalizado busca la clave de un solo objetivo. Para estos últimos casos, hay múltiples estrategias, pero una de las más usadas es el ataque por diccionario, que es otra de las líneas temáticas pedidas por el Ejército para ser impartidas en estos cursos.

Sobre qué es un diccionario en el mundo del cracking, ambos expertos concuerdan que es una base de datos con gran cantidad de términos, combinaciones alfanuméricas y otros tipos de información usado para identificar la posible contraseña. Martínez asegura que muchos de estos diccionarios son armados gracias a rasgos únicos de la víctima: como lo son “las mascotas, el equipo de fútbol, sagas de película, entre otros”. Incluso hay herramientas que generan estos diccionarios desde esa perfilación -ingeniería social-. Por esta razón, este señala que una forma de evitar ser blanco de estos “crackeos” de contraseña es teniendo claves que no sean relacionadas con los gustos propios.

(Además: "Chuzadas" ilegales habrían propiciado la salida del general Nicacio Martínez de la comandancia del Ejército)

Por otro lado, la experta de la Fundación Karisma señala que “actualmente es posible encontrar infinitas opciones de diccionarios que contienen usuarios y contraseñas, muchos de los cuales han sido obtenidos ilegalmente”. Sobre este tema de diccionarios, el Ejército también pidió en el contrato que al personal a entrenar se le enseñe sobre administración, conversión y parametrización de diccionarios. Sobre estos términos, la experta asegura que consisten en adaptar estas bases de datos a la medida de los requisitos. “En ciertos casos, y dependiendo del sistema a atacar o del diccionario que se esté usando, es necesario cifrar o alterar el contenido de los datos”, señaló.

De igual manera, en la contratación se pide que haya un capítulo de instrucción sobre Ataque por Reglas y Creación de Reglas Personalizadas. Estos, según Roberto Martínez, consisten en intentar definir un patrón con el que fue creada la contraseña, que puede ser una secuencia u otras características similares.  

(También: La denuncia que originó el allanamiento al Batallón de Ciberinteligencia del Ejército)

Por último, en la compra de Hombre Invisible se incluyó que se debía dictar entrenamiento en análisis de entorno, variables y parámetro. Esto en mundo de la seguridad informática quiere decir, según la experta de Karisma, que, antes de realizar el ataque, se debe identificar posibles vulnerabilidades a explotar y posible información que pueda ser usada en ataques futuros.

Frente al posible crackeo de contraseñas, estos dos expertos le recomiendan al ciudadano de a pie “seguir buenas prácticas al momento de crear, almacenar y renovar contraseñas (no utilizar la misma contraseña en diferentes sitios, no usar contraseñas predecibles porque son vulnerables a ataques de diccionario); cambiar contraseñas frecuentemente; no compartir contraseñas, etc. También es importante, educarse en ataques de ingeniería social (no dar clic a links sospechosos, no abrir correos/archivos no esperados)”.

(Le puede interesar: Vulnerabilidad en la Corte Suprema, la sensación que dejan las "chuzadas")

Mientras que a nivel empresarial, de acuerdo a la experta de Karisma, se deben usar Firewalls, sistemas de detección y prevención de intrusos, antivirus, sistemas de protección en contra de ataques de fuerza bruta y denegación de servicio, y estrictas políticas de seguridad que impongan el uso de software seguro, configuraciones seguras, auditorias, etc.

Las revelaciones del pasado fin de semana sobre las interceptaciones ilegales presuntamente realizadas desde batallones de inteligencia del Ejército en contra de políticos, magistrados y periodistas, prendieron las alarmas sobre un nuevo caso de violación de la privacidad y comunicaciones de personas cuyas posiciones no serían del todo afines al gobierno de turno. Asimismo, permitieron conocer que millonarios recursos adquiridos para labores de inteligencia estarían siendo destinados para estas chuzadas.

Entre esos recursos presuntamente usados para estas acciones irregulares está el Hombre Invisible, un complejo software que incluso permitiría acceder a conversaciones de WhatsApp y Telegram. El Espectador pudo acceder al millonario contrato de compra de este programa informático, que en total llegó a costar cerca de $3.000 millones. En este, además de establecer las condiciones de compra tanto de software como hardware (equipos para el programa funcione), quedaron consignadas otras exigencias del Ejército.

(Puede ver: Chuzadas: las exigencias del Ejército en contrato de software de inteligencia)

El principal requisito de las Fuerzas Militares, además de Hombre Invisible, fue un entrenamiento de por lo menos 32 horas en temas relacionados con “cracking password” -decodificación de contraseñas-. Esta instrucción tendría que ser dictada a seis personas, sin que se especificarse si eran civiles o uniformados. Aún no se conoce si ya se realizaron o no estos entrenamientos, sin embargo, en el contrato quedaron consignados algunos de los temas que el Ejército exigía que fueran impartidos por “profesionales especializados, capacitados e idóneos en seguridad informática y ethical hacking”.   

El Espectador habló con dos expertos en seguridad informática sobre el significado de algunas de las temáticas abordadas en ese entrenamiento. Entre los temas a instruir están los ataques de Fuerza Bruta. Estos, según una experta de la Fundación Karisma, consisten en una técnica a través de la cual se prueban varias “combinaciones / permutaciones alfanuméricas” para poder acceder a un sistema. Este tipo de ataques, de acuerdo con la experta, puede ser dirigidos tanto a computadores, celulares y archivos protegidos con contraseñas.

Una definición similar da Roberto Martínez, analista de Seguridad Senior en Kaspersky y quien asegura que estos métodos de crackeo de contraseñas genera mucho ruido, es decir, intentos fallidos, por lo que, dependiendo el sistema, este puede generar alertas y hasta bloquearse.

(Puede ver: Las herramientas con las que miembros del Ejército habrían chuzado ilegalmente)

Ambos expertos concuerdan en que los ataques de Fuerza Bruta consumen amplios recursos, por lo que se necesita un amplio poder de cómputo y procesamiento, que incluye el uso de tarjetas gráficas. En el contrato de compra del software se puede leer que el Ejército también compró estaciones de trabajo y sistemas de criptografía -para decodificar información encriptada, como lo son las contraseñas- con poderosos procesadores y tarjetas de video de gran capacidad de procesamiento, características necesarias para este tipo de ataques mencionados anteriormente.

Sobre Fuerza Bruta, en el contrato también queda especificado que se necesita que las seis personas escogidas sean entrenadas en ataques no dirigidos o personalizados. Sobre estas temáticas, Martínez señaló que hacen referencia a diferentes enfoques del ataque de Fuerza Bruta: mientras que el no dirigido obtiene las contraseñas de varios usuarios de forma indistinta, el personalizado busca la clave de un solo objetivo. Para estos últimos casos, hay múltiples estrategias, pero una de las más usadas es el ataque por diccionario, que es otra de las líneas temáticas pedidas por el Ejército para ser impartidas en estos cursos.

Sobre qué es un diccionario en el mundo del cracking, ambos expertos concuerdan que es una base de datos con gran cantidad de términos, combinaciones alfanuméricas y otros tipos de información usado para identificar la posible contraseña. Martínez asegura que muchos de estos diccionarios son armados gracias a rasgos únicos de la víctima: como lo son “las mascotas, el equipo de fútbol, sagas de película, entre otros”. Incluso hay herramientas que generan estos diccionarios desde esa perfilación -ingeniería social-. Por esta razón, este señala que una forma de evitar ser blanco de estos “crackeos” de contraseña es teniendo claves que no sean relacionadas con los gustos propios.

(Además: "Chuzadas" ilegales habrían propiciado la salida del general Nicacio Martínez de la comandancia del Ejército)

Por otro lado, la experta de la Fundación Karisma señala que “actualmente es posible encontrar infinitas opciones de diccionarios que contienen usuarios y contraseñas, muchos de los cuales han sido obtenidos ilegalmente”. Sobre este tema de diccionarios, el Ejército también pidió en el contrato que al personal a entrenar se le enseñe sobre administración, conversión y parametrización de diccionarios. Sobre estos términos, la experta asegura que consisten en adaptar estas bases de datos a la medida de los requisitos. “En ciertos casos, y dependiendo del sistema a atacar o del diccionario que se esté usando, es necesario cifrar o alterar el contenido de los datos”, señaló.

De igual manera, en la contratación se pide que haya un capítulo de instrucción sobre Ataque por Reglas y Creación de Reglas Personalizadas. Estos, según Roberto Martínez, consisten en intentar definir un patrón con el que fue creada la contraseña, que puede ser una secuencia u otras características similares.  

(También: La denuncia que originó el allanamiento al Batallón de Ciberinteligencia del Ejército)

Por último, en la compra de Hombre Invisible se incluyó que se debía dictar entrenamiento en análisis de entorno, variables y parámetro. Esto en mundo de la seguridad informática quiere decir, según la experta de Karisma, que, antes de realizar el ataque, se debe identificar posibles vulnerabilidades a explotar y posible información que pueda ser usada en ataques futuros.

Frente al posible crackeo de contraseñas, estos dos expertos le recomiendan al ciudadano de a pie “seguir buenas prácticas al momento de crear, almacenar y renovar contraseñas (no utilizar la misma contraseña en diferentes sitios, no usar contraseñas predecibles porque son vulnerables a ataques de diccionario); cambiar contraseñas frecuentemente; no compartir contraseñas, etc. También es importante, educarse en ataques de ingeniería social (no dar clic a links sospechosos, no abrir correos/archivos no esperados)”.

(Le puede interesar: Vulnerabilidad en la Corte Suprema, la sensación que dejan las "chuzadas")

Mientras que a nivel empresarial, de acuerdo a la experta de Karisma, se deben usar Firewalls, sistemas de detección y prevención de intrusos, antivirus, sistemas de protección en contra de ataques de fuerza bruta y denegación de servicio, y estrictas políticas de seguridad que impongan el uso de software seguro, configuraciones seguras, auditorias, etc.