Mostrando entradas con la etiqueta DEFCON. Mostrar todas las entradas
Mostrando entradas con la etiqueta DEFCON. Mostrar todas las entradas

martes, 17 de marzo de 2015

Operación Onymous: la policía marcando paquete con un calcetín

Esta narración de lo que fue la Operación Onymous fue publicado en la Revista Yerba.
Esperamos que os guste.

---


Operación Onymous



Hace aproximadamente año y pico, en octubre del 2013 caía el primer gran mercado de drogas ilegales en internet. Fue la caída de Silk Road en su primera versión, dirigida presuntamente -el caso aún no ha sido juzgado en USA- por Ross Ulbricht, conocido como Dread Pirate Roberts. Fue el primer golpe que las fuerzas policiales de un estado asestaron a un mercado de la darknet, una de las partes menos visibles de la deep web o web oculta, que es sólo accesible mediante alguna navegador o programa que nos abra las puertas de la red Tor.

En aquel momento, Silk Road era el paradigma de los nuevos mercados de drogas en internet, y su captura llevó a usar recursos ilimitados ya que suponía una afrenta evidente y una burla a todas las leyes contra las drogas que la policía no podía permitir, sobre todo porque erosionaba la imagen de “presunta utilidad” que tiene dicho cuerpo en materia de drogas. Todo eso llevó a detener a Ross, un joven bien formado, de buena familia con grandes habilidades en tecnología y ciencias que dirigía el gran mercado ilegal. También a que su dinero en Bitcoin fuera atrapado en su captura y a subastarlo poco después de forma legal como FBI y gobierno de USA.




Pocos días después, en la darknet, surgía de nuevo el mismo mercado. O casi. Era Silk Road 2, la versión renovada y mejorada del primero que había caído ante la policía en una caza salvaje. Pero como era de esperar, la policía hizo lo que pudo para infiltrarse en los mercados de droga de la darknet, y lo consiguió. El nuevo Silk Road 2 estaba infectado por la policía desde sus inicios, lo cual no quiere decir que conocieran a su jefe, ya que en estos días todas esas cosas se realizan por ordenador y sin verse las caras, ni tener por qué darse los nombres. Pero quedó infectado entre sus trabajadores, lo cual es ya un riesgo serio que de conocerse daría lugar al cierre inmediato del mercado.

El pago de servicios y drogas en la darknet se realiza con criptomonedas. Son monedas basadas en sistemas criptográficos potentes que no dependen de un emisor o banco central. La más conocida es Bitcoin pero existen cientos más que pueden cumplir la misma función como medio de pago. Y con esas dos cuestiones tecnológicas, el anonimato que puede brindar la red junto con un medio de pago no controlable por los gobiernos, han hecho saltar la banca de las posibilidades.


La “gran operación” anti-anonimato: Onymous 


Europa es un punto neurálgico de actividad en la darknet, secundario sólo a los USA y Rusia. Hace poco, un documento publicado en Volkskrant, uno de los periódicos líder en Holanda, reveló un plan orquestado por varios países europeos y USA, para atacar al tráfico de drogas online en Europa. La Fiscalía General de Holanda trabajaba en un plan llamado ITOM, acrónimo de “Illegal Trade on Online Marketplaces”, que buscaría hacer trabajar de forma conjunta a varias agencias de policía a través de toda Europa y USA. El plan se nutre de fondos de la Unión Europea y también incluye a las agencias Europol y Eurojust. El documento no era una publicación oficial sino un comentario no oficial sobre su plan centrado en 3 puntos que se le dio a un periodista del Volkskrant. Los 3 puntos eran el seguimiento de perfiles para atacar el anonimato, la vigilancia de los envíos de droga por correos y paquetería, y el control del Bitcoin como forma de vincular los fondos con transacciones de drogas por dinero.




De esta forma es como se gestó la operación Onymous, cuyo nombre es un juego de palabras con el concepto de Anonymous y el anonimato en internet. En este punto la policía tiene especial interés: una de sus obsesiones y temores es no poder controlar quién es quién en la red, qué dicen, con quién hablan, y qué hacen. El anonimato y el uso de herramientas que lo proporcionan se ha vuelto una necesidad en la red, aunque los medios se empeñen en presentar a quien usa dichas herramientas como criminales. Tanto interés tenían las policías implicadas en la operación Onymous en que la sensación de anonimato que brinda Tor fuera cuestionada, que se han centrado más en meter miedo que en hacer algo real, usando sus cuentas de Twitter para vacilar y provocar temor a los usuarios de la red Tor.

En la tarde del jueves 6 de noviembre de 2014 se empezaban a conocer las primeras informaciones. Silk Road 2, el relevo de la creación de Ross Ulbricht, había caído junto con su dueño y administrador en San Francisco. Así, el plan conjunto de Europa y USA para combatir la venta de drogas online se cobraba su primera víctima de importancia.

Según avanzaba la tarde, veíamos caer también a otros sites como Hydra, Cloud 9, Alpaca, Cannabis Road y otros cuantos mercados menores. ¿Por qué menores? Porque esta “segunda vez” que la policía -ahora uniendo sus fuerzas entre varios países- atacaba los mercados anónimos de drogas, no ha podido hacer nada contra el que tenía ya el mayor volumen de ventas (y el listado más amplio de productos) en ese momento: Agora.


Versión policial y lo que sabemos en realidad.

La operación fue vendida a los medios como un gran golpe contra la Darknet y sus delincuentes, ya que para los medios de masas el uso de un sistema de anonimización como Tor es prueba de que se tiene la intención de cometer actos ilegales. Pero la cosa se empezó a caer en los días siguientes. Mientras la policía de USA hablaba de 414 webs, la europea hablaba de 50 webs. En realidad el número de lugares incautados está en torno a 27 webs, siendo los demás clones de los lugares incautados -que se encontraban replicados para hacer frente a posibles ataques DDoS o hackeos que pudieran causar un daño a sus servidores principales- junto a algunos sitios de scam y otros de phishing. También parece ser que encontraron en alguno de los servidores incautados algún mercado de drogas que había sido abandonado meses atrás y que no tenían ninguna funcionalidad.

Se presentó como la nueva purga de la darknet contra las drogas, las armas y los asesinatos por contrato, aunque este último punto sigue siendo más leyenda negra para uso policial que realidad. Incluso buena parte del ataque mediático se destinó a hacer mella en la imagen de Tor, aunque no debemos olvidar que es un proyecto que nació en manos del ejército de USA y financiado por ellos. Los detenidos solamente fueron 17 personas en 17 países, y la mayoría fueron liberados bajo fianza.



De los medios empleados en esta ocasión se sabe poco, porque las fuerzas de seguridad no las tienen todas consigo. Mientras que la red es libre, los cuerpos policiales deben ceñir sus procedimientos al corpus legal de cada lugar, y eso parece ser algo que no pueden hacer si quieren dar caza a estos mercados. La policía está vulnerando varias leyes sobre su propio comportamiento que invalidarían judicialmente muchas de las pruebas que obtienen al estar manchadas por un procedimiento no autorizado, como el espionaje masivo de datos o la cooperación extrajudicial con otros países, que también saltándose las normas sobre procedimientos, les han dado acceso y recursos a sus ISP o servidores. En este caso se sabe que el servidor de Silk Road 2 estaba copiado al completo desde hacía meses, por lo que tenían total control de las operaciones que se realizaban en él y de las transferencias económicas a través de bitcoin, que si bien no permite identificar al dueño de una cuenta, todos los movimientos de dinero entre cuentas son totalmente públicos y accesibles para cualquiera con un navegador.

A su administrador, Defcon, le han cazado en el mismo área geográfica que su predecesor Ross Ulbricht aka Dread Pirate Roberts, y parece ser que la investigación de las relaciones sociales mantenidas a través del ordenador han ayudado mucho. Según la información filtrada -que hay que poner en cuestión viendo cómo han mentido al público en el caso similar de Ross- ha cometido errores de bulto, como ir dejando su dirección personal en el servidor donde hospedaba el mercado o conectarse en la misma sesión a su cuenta de Gmail y al servidor que gestionaba, aunque estuviera usando una VPN (una forma de anonimización de la conexión mediante un servidor interpuesto en otro país). Lo cierto es que cuando se ponen tantos recursos a la caza de una persona, el menor error es suficiente para provocar tu captura, pero la cantidad de nuevos objetivos que se multiplican mes a mes y mejoran sus niveles de seguridad hace de ese modelo algo inviable de cara al futuro, si los estados pretenden seguir con una prohibición de las drogas que hace aguas por todos los lados.


Aquí DEFCON, 
administrador de Silk Road 2, 
posando con la policía días antes de ser capturado.


En resumen, la operación ha tenido un carácter mucho más publicitario que efectivo, ya que su irrupción no parece haber causado problemas más que a una decena de personas en todo el planeta, y eso es un número despreciable para las cifras del tráfico de drogas. Parece que la policía, a día de hoy, no puede aspirar a mucho más que a meter miedo porque tecnológicamente están muy por debajo del delincuente medio en internet. Y sobre su pretensión de haber conseguido “revertir” Tor o romper sus sistema, no se puede más que hacer una mueca burlona de desprecio, ya que si eso fuera cierto no tendría sentido que hayan dejado al resto de mercados de drogas en la darknet funcionando mejor que nunca. ¿La policía mintiendo como forma de combatir el nuevo paradigma de la venta de drogas online? Eso parece.

Lo cierto es que si necesitan esparcir miedo como forma de combatir el anonimato en Tor, es que Tor resulta a día de hoy la mejor herramienta, usada correctamente, para aumentar tu anonimato de forma radical y pasar a un nivel en el que rastrear una conexión ya es un paso que parece fuera del alcance del nivel técnico de la policía, cosa que han de suplir saltándose los pasos legales para obtener la información necesaria para sus intereses.


El papá del niño: Blake Benthall alias Defcon.

De nuevo, un joven bien formado y de buena posición, desarrollador de software de vuelo para una compañía de desarrollo aeroespacial, volvía a ser la cabeza más visible del mercado anónimo de drogas en la darknet. Blake Benthall tiene 26 años, y una cuenta en Twitter donde se define -entre otras cosas- como “Bitcoin dreamer”. A grandes rasgos tiene un perfil similar al de su predecesor, pero curiosas diferencias cuando se indaga más.



Orihundo de Houston, Texas, el protagonista en esta ocasión tiene una intensa y tradicional crianza en valores y entorno cristianos. Fue educado en casa y mantenido lejos de los vicios del mundo, hasta el punto que sus amigos comentaban que para ellos era totalmente normal abstenerse del consumo de drogas, incluidos alcohol y tabaco, por una razón de creencias religiosas dentro del entorno conservador evangélico cristiano en el que crecieron. Tal distancia existía en su imagen exterior con respecto a las drogas que sus amigos dicen que era un tema de chiste entre ellos, dado que nadie cuestionaba que las drogas fueran malas y sin lugar a posible debate.

Posteriormente se mudó a Florida donde estudió en el Florida College, una institución cristiana privada. En esa época hizo teatro, tocó en grupos musicales y viajó a lo largo de todo el país conociéndolo y ampliando sus horizontes mentales, mientras trabajaba como programador freelance. Blake disfrutaba de esa vida nómada entre gente desconocida y amigos diferentes, y rechazaba ofertas de trabajo que le hicieran tener que permanecer en un lugar. Pero el tiempo todo lo calma y acabó aceptando una oferta para afincarse en California, concretamente en San Francisco, donde sus compañeros de trabajo estaban entusiasmados de trabajar con alguien tan joven y a la vez tan brillante programador con un altísimo nivel. Finalmente en el año 2013 entra en SpaceX, la compañía aeroespacial, donde tiene como encargar mejorar el software de vuelo. Este trabajo lo mantiene mientras presuntamente gestionaba el mercado de drogas online.

Sus posiciones políticas eran las de un orgulloso liberal pero al mismo tiempo mostraba una profunda preocupación de carácter social que se podía ver en sus cuentas en las redes sociales y en sus acciones, como ir llevando comida puerta a puerta -donde había una casa y no un cartón en el suelo- a personas sin recursos en San Francisco. 

También donaba dinero a organizaciones benéficas e incluso organizaba eventos y mantenía webs relacionadas con proyectos de voluntariado social. Los religiosos y voluntarios que le conocieron afirman su clara y sincera preocupación por las marginados de la sociedad.

La religión parece ser una constante en su vida que no le ha dejado ni siquiera cuando estaba administrando el mercado de drogas más grande visto en el tiempo de vida de internet. En su barrio, tras conocer la noticia, no renegaban de él. Contaban como era una persona muy educada y siempre dispuesta a hacerte un favor.




Una vecina suya de 85 años de edad, que le alquiló una cochera para su auto, comentaba que el joven era encantador, que incluso pasaba momentos con ella leyendo juntos la Biblia, y que siempre estaba dispuesto a llevarla en coche a cualquier sitio. Lo que ha dicho la señora, es que le va a echar mucho de menos. ¿Alguien podría tener esa imagen de un supuesto rey del narcotráfico en las aguas digitales? A Ross Ulbricht le acusaron -no formalmente- de varios actos violentos e intentos de asesinato por encargo que posteriormente no se han podido ratificar y que la policía ni siquiera ha llevado a juicio. Sin embargo, el perfil que se ha filtrado a las redes sobre Blake Benthall no podía ser más sano y menos perjudicado para el lugar donde será juzgado, aunque todavía conocemos demasiado poco como para poder tener un visión completa, de este otro increíble joven con un talento igualmente excepcional. Por si todo eso parecía poco, tras la detención, la iglesia local con la que se encontraba integrado sacó un comunicado expresándole su apoyo y que rezaban por él.


Del ágora la evolución.

El día de la caída de Silk Road 2 ya no era el rey del mercado. Agora, otro mercado anónimo de Tor le había superado en productos y vendedores. Agora era por tanto el objetivo que de haberse podido tomar, se hubiera tomado. Los clientes y vendedores de Silk Road 2 buscaron pronto un nuevo lugar para sus relaciones y Agora fue la opción inmediata. Durante el día de la operación fue posible aún hacer nuevos registros en el mercado anónimo, pero el flujo de nuevos clientes y de vendedores que necesitaban un expositor hizo tambalearse a dicho mercado. Bien por razones de seguridad o bien por razones de incapacidad para manejar un excesivo flujo de clientes al que no estaban acostumbrados, Agora cerró parcialmente los nuevos registros en su web, pudiendo accederse al registro con ayuda de otros ya registrados, pero haciéndolo complejo para nuevos clientes sin conexiones habituales con estos mercados y su mundo.



El siguiente competidor en la lista era Evolution, un mercado con niveles de seguridad y características de alto nivel en las transacciones con método multi-sig, que sirve para evitar problemas de robos por terceras partes y dificulta enormemente los robos de Bitcoin, que parecen ser el mayor motivo de ataque a esos servidores que albergan los mercados de drogas de la darknet. Evolution ya tenía una amplia base de clientes que le hacía ser un firme candidato a perpetuarse, y que no dio muestras de perturbación alguna durante la operación Onymous.

En los días siguiente la tendencia se desplazó finalmente a Evolution, convirtiéndose en el nuevo gran jugador de las drogas online, de momento alabado por casi todos los que entran en contacto con él o lo estaban ya, cansados del nivel en Silk Road 2, que sin ser malo del todo, estaba trufado de malos vendedores intentando dar un palo de 300 dólares y desparecer, que hacían pesada la búsqueda. Al mismo tiempo, Agora ha enfrentado problemas que hacen poder temer a su desaparición, ya que sus administradores se comunicaron con la gente de los foros donde suelen mantener un cierto servicio de “atención al público” sin usar la criptografía PGP que es la base de la seguridad en las comunicaciones de estas personas. También ha habido quejas de los clientes y los vendedores, ya que ha habido problemas con los depósitos en cuenta y los pagos en Bitcoin, y eso es una señal que ha sido determinante en la historia previa de otros mercados cuando eran hackeados o cuando iban a darse a la fuga con todo el dinero que se moviera dentro de su caja en el momento de salir corriendo. Nunca resulta una cuestión que anime a la tranquilidad el hecho de que tus depósitos económicos no estén disponibles en el lugar que los realizas, aunque sea de forma temporal, porque podría esconder una situación mucho más grave.

Como quiera que se desarrollen las cosas a partir de ahora, los mercados y los usuarios van aprendiendo de la experiencia propia y ajena, adoptando prácticas seguras y demandándolas a los mercados online, mejorando de esta forma la seguridad que buscan y permitiéndoles seguir fuera del mercado negro clásico, con los riesgos propios del mismo y minimizarlos. Lo que hace un año era un niño dando sus primeros pasos, ahora ya es un adolescente rebelde que está a punto de ser adulto: el nuevo paradigma en la compra de drogas en la red hoy se llama Evolution.