Professional Documents
Culture Documents
Operación Huracán
07 de febrero de 2018
Muchos de mis colegas, conocidos y alumnos me han consultado con bastante frecuencia en
los últimos días respecto a cuál es mi opinión técnica sobre lo que está sucediendo en torno
a la Operación Huracán, donde Carabineros de Chile incriminó a 8 personas por diversos
delitos mediante la supuesta presentación de evidencias falsificadas, las cuales provenían
principalmente de interceptaciones de mensajes de Whatsapp y Telegram intercambiados
por los detenidos donde habrían conversaciones que los incriminarían en estos delitos.
Dicho lo anterior, ahora me centraré en los aspectos técnicos de la declaración que presentó
el Sr. Alex Smith Leay, informático a cargo del software que utilizó Carabineros, donde detalla
el procedimiento de funcionamiento de esta herramienta, con la cual supuestamente pudo
acceder a conversaciones de Whatsapp y Telegram de los inculpados.
La primera vez que escuché, dentro del contexto de la Operación Huracán, sobre la
posibilidad de que alguien haya logrado efectivamente vulnerar las conversaciones de
Whatsapp y Telegram me llamó muchísimo la atención, dado que yo trabajo en el área de
redes y seguridad informática y habitualmente realizo asesorías en hacking ético a diferentes
corporaciones, por lo cual esta noticia captó mi interés inmediatamente. ¡Incluso casi me
caigo de la silla cuando supe que esto había ocurrido ni más ni menos que en Temuco! La
misma ciudad donde vivo… ¡y que además habría sucedido a 3 cuadras de mi propia casa!
Hoy leo las declaraciones de Smith Leay ante los fiscales del caso y voy a pasar a comentar
los puntos que más me llaman la atención del reportaje elaborado por el diario La Tercera.
Respecto a las declaraciones puntuales de Smith, paso a enumerar aquellas que más me
llamaron la atención junto con mi explicación o comentario.
1) “Su modus operandi, dice Smith, era “analizar la publicación de la red. Para ello,
entraba a la página web correspondiente luego accedo al código fuente y así determino
las rutas de acceso y otros datos que son relevantes, por ejemplo correo electrónico, fecha
de modificaciones, nickname y otros. Posteriormente, utilizando la herramienta ‘exif
view’ analizábamos la imagen, para posteriormente descargarla y analizarlas con otras
herramientas tales como FOCA, Exif Tools”
¿Analizar la publicación de la red? ¿A qué se refiere con esta expresión? No existe ningún
término que se denomine “publicación de la red” como tal, ni en programación de
aplicaciones ni en administración de redes. Al menos es primera vez en mis “..ti tantos” años
en este mundo que escucho algo similar en una descripción de procedimientos. Mi primera
impresión es que el término como tal es un invento y no tiene respaldo de ninguna
publicación, estándar o documentación que yo conozca. Incluso le he preguntado a un colega
que tal vez tenga más experiencia que yo si es que le suena a algo conocido y simplemente
se encoje de hombros.
Luego dice que accede al código fuente y determina las rutas de acceso. ¿Rutas de acceso a
qué? Lo único que hay en un código fuente son los resultados en HTML y enlaces hacia
recursos (imágenes, scripts, sonidos, etc.) que son interpretados por el navegador Web como
una página con colores, formas, texto, imágenes, entre otros, pero realmente no sé a qué se
refiere con “rutas de acceso” exactamente. Es una explicación muy vaga, ambigua y abierta
a cualquier interpretación. Me recuerda a un mecánico que tuve y que cuando llevaba mi
auto por algún problema me decía siempre lo mismo: “jefe, hay que dejarlo acá y revisarlo
para descartar que falle algo”. Yo le preguntaba, ¿algo como qué, por ejemplo? Y me decía:
“algo poh jefe, cualquier cosa”. Ah listo, le decía yo… y lo dejaba no más (qué iba a hacer, si
la mecánica no es lo mío. Bueno, después descubrí que al parecer tampoco era lo de él…)
Aquí Smith hace referencia al código fuente de un sitio Web, pero ¿qué tiene que ver eso
con interceptar mensajes de Telegram y Whatsapp? Además, el código fuente es información
pública. Los que trabajamos en Hacking sabemos que en el código fuente puede existir algo
de información potencialmente reveladora pero en general es muy poco lo que se puede
rescatar de ahí, más que algunos comentarios hechos por el desarrollador o links poco
protegidos donde se acceda a algún directorio sensible, pero más allá de eso no es habitual
encontrar algo relevante. Dicho en simple: No por mirar el código fuente de un sitio Web se
podrá efectivamente “hackear” ese sitio.
Además indica que también él descarga “Exif View” para analizar las imágenes, aún cuando
existen miles de sitios gratuitos online para editar y ver información EXIF. ¿Qué es la
información EXIF? Es muy simple. Todas las imágenes digitales tienen información adicional
a la imagen misma. Esto se conoce como “metadatos” y contienen cosas como la fecha de
creación del archivo, algunos datos propios del sistema donde fueron creados y
eventualmente en algunos casos se contiene información respecto al tipo de cámara con la
cual se tomaron las fotos, si se editó con alguna herramienta tipo Photoshop, qué filtros de
imagen se utilizaron, y un montón de información respecto al archivo de imagen en sí, pero
no a la imagen. Ejemplo, una información EXIF puede decir que la foto se tomó con una
cámara Canon con un filtro de luz X y un valor de sombra Y (no soy fotógrafo, no sé mucho
de lo que puede tener una imagen como metadatos), pero un valor EXIF no puede decir que
la persona que sale en la foto es tal o cual, o que la casa que se ve de color rojo es de
propiedad de alguien. Exif View es una herramienta para ver este tipo de información.
Un ejemplo simple
La siguiente fotografía mía (disculpen la autoreferencia) podemos analizarla para ver sus
datos EXIF. Esta imagen está disponible en este link:
https://media.licdn.com/mpr/mpr/shrinknp_200_200/AAEAAQAAAAAAAAQrAAAAJGYwYm
ViZGRlLWEzNWYtNDE1ZS1iNGUxLWUyNjMxM2VjNjM2OA.jpg
Basta buscar en Google por “Exif View” y en el primer link que salga analizamos la imagen:
Como se puede apreciar, podemos saber que la imagen pesa 0,040 Megapixeles, es de tipo
JPEG, usa una codificación DCT, tiene un tamaño de 200 x 200 y un par de cosas más, pero
la información EXIF no indica quien soy yo ni menos que la imagen fue tomada en la hermosa
Patagonia chilena. Existe una excepción donde si se podría obtener esta información y es
cuando la imagen se toma directamente en un smartphone y la foto sin editar se analiza en
estos EXIF Viewers. Ahí se pueden ver las coordenadas de GPS de donde se tomó la foto,
pero basta que esa imagen haya sido modificada una sola vez para que esa información ya
se pierda. En definitiva, usar EXIF para analizar una foto es una cosa que en el 0,001% de los
casos puede arrojar información interesante que pueda ser utilizada en un juicio.
2) “Según “el profesor” con esa tarea (Lo de revisar el código fuente y el EXIF) lograba no
solo revisar fotos sino establecer el lugar de dónde habían sido tomadas. “Mi trabajo me
permitía establecer posicionamiento del lugar donde había tomado la foto, los nombres
o nick del usuario, si era única en la red o no”.
En el 99,99% de los casos no se puede determinar el lugar de donde habían sido tomadas las
fotos. Esto solo es posible si la foto corresponde a una imagen obtenida directamente desde
un teléfono móvil con función de GPS activada y además si la imagen no ha sido procesada
por ningún software de imágenes (Photoshop o similar). Además se indica que es también
posible obtener “nick del usuario”. Eso no se obtiene mediante un análisis EXIF. No tengo
idea cómo en una fotografía mediante un análisis EXIF se podría saber quien es el “nick del
usuario” menos aún si el trasfondo de lo que estamos analizando tiene que ver con los nicks
utilizados en Whatsapp o Telegram. Esto no tiene ningún sentido.
Al final indica “…y era única en la red o no”. ¿¿A qué se refiere con esto?. Queda en duda
porque es una declaración ambigua. Que la imagen sea única en la red, ¿se refiere a una red
en particular? ¿O se refiere a Internet cuando indica “la red”?. No sabemos. El no emitir ese
comentario no hace diferencia en absoluto.
3) “En relación con las aplicaciones, la primera que desarrollamos fue para el manejo de
la base de datos de los blancos investigativos, es decir, diseñé un modelo de base de datos
relacional con la herramienta Microsoft Access, el objetivo era ordenar la información y
facilitar las consultas.”
Creo que si hay alguien más que tiene experiencia en Hacking leyendo este texto ya habrá
soltado una carcajada, una sonrisa dubitativa o habrá puesto el ceño fruncido con esto. No
quiero sonar petulante o engreído, pero MS Access es una herramienta extremadamente
básica para alguien que supuestamente trabaja desarrollando software y aplicaciones de
hacking y con habilidades tan sorprendentes como para interceptar mensajería que los
estándares de seguridad actuales consideran como efectivamente privada. Esto,
nuevamente, no calza con el perfil de un supuesto hacker. Es como que en una conversación
de amigos que recién se están conociendo alguien diga que es piloto de fórmula uno y que
ha participado en las mejores carreras del mundo corriendo pero cuando le preguntan qué
tipo de auto tiene, él responde que entrena todos los días en su Peugeot 206 no más…. Eso
mismo que pensó Ud. es lo que pienso al respecto.
4) “Otra herramienta que desarrollamos permitía monitorear redes sociales, que consistía
en crear un espejo del teléfono, pues desencriptar Whatsapp era imposible”.
Me perdí. ¿Cómo es eso de que hay otra herramienta que permite monitorear redes sociales
(Facebook, Twitter, etc) la cual consiste en crear un espejo del teléfono. ¿Qué sería
técnicamente “crear un espejo del teléfono”? ¿Se refería a crear una imagen clonada binaria
bit a bit del sistema operativo de la víctima (como lo hace la herramienta Unix “dd”) del o tal
vez se refiere a una copia de los archivos principales solamente? Me hubiese gustado que
explicara en más detalles qué es exactamente un ”espejo” en este contexto. Además no veo
relación en la explicación de monitoreo de redes sociales con la acción de cear un supuesto
espejo. Es muy extraña esta asociación de conceptos pues una cosa es monitorear las redes
sociales de un posible target a quien se quiere espiar, y otra diferente es copiar un teléfono
para obtener un espejo. Es una explicación incongruente y que no guarda relación entre
ambas cosas.
Esto es una SimCard. ¿Cómo se ingresa esto en un software? Curioso, por decir lo menos.
Veamos. Una vez ingresados los datos (correo electrónico, IMEI, número de teléfono y
SimCard) en esta supuesta aplicación Antorcha, el servidor donde estaba alojada enviaba un
correo al teléfono que se quería intervenir. Un momento, debo aclarar dos cosas respecto a
esto:
Uno. Si la aplicación se “abría” en el PC ¿cómo es que ahora hay un servidor involucrado?
¿Es un sistema basado en Web entonces? ¿Por qué entonces Smith Leay no dice
simplemente que su aplicación está basada en la Web y así facilita todo análisis? La otra
posibilidad es que sea una aplicación desarrollada en un lenguaje de programación avanzado
y que opere en modo cliente servidor, donde el cliente se instala en el PC local y se conecta
mediante un puerto y datos específicos con algún servidor remoto. Sin embargo, dado los
datos que presenta Smith, considero que esta opción no es la más correcta para describir lo
que realmente haría ANTORCHA.
Dos. Un correo electrónico JAMÁS se envía a un teléfono. El correo se envía a una casilla
electrónica identificada por un usuario, una arroba y una dirección de un servidor (ejemplo:
paulocolomes@miservidor.com) siendo que esta casilla puede ser accedida desde un PC, un
teléfono, una tablet, un reloj, etc. El correo se envía a un servidor de correos donde está
alojada esa casilla electrónica. Por lo anterior es incorrecto indicar que un correo se envía a
un teléfono. Es importante hacer este alcance porque es relevante para poder comprender
el proceso exacto de cómo funcionaría la aplicación ANTORCHA. Una persona experta
realmente no cometería el error de comunicarse de esa manera pues estaría haciendo
referencia a algo que no es real.
Además, hasta este punto sigo sin entender porqué el sistema de Smith Leay entonces
requiere los datos de IMEI, número de teléfono y SimCard si lo único que hace es
simplemente enviar un correo. Basta con ingresar la dirección de correo de acuerdo a su
declaración y listo.
Ah, una cosa más. Ningún hacker que se presente como tal utilizaría la expresión “…
contaminaba el teléfono”. Eso no existe en la jerga habitual. Se utilizan otros términos como
“infectar, interceptar, vulnerar, explotar, hijackear o inyectar un payload (carga útil)”, pero
nunca “contaminar”. Los hackers no son sucios… (no sé si se entiende la analogía, pero un
buen hacker no se referiría a su propio trabajo como algo sucio. Todo lo contrario). Es un
término muy raro.
7) “los correos electrónicos enviados eran promociones y bastaba con que estos llegaran al
correo a la bandeja de entrada para infectar el aparato. Los correos estaban diseñados para
pasar la barrera del spam”.
Esta frase está llena de errores y de situaciones llamativas, cuando menos. “Los correos
electrónicos enviados eran promociones”. OK, nada raro en eso ya que esto es lo que se
conoce habitualmente como SPAM o correos no solicitados. “Bastaba con que llegaran a la
bandeja de entrada para infectar al aparato”.Esto es totalmente inverosimil. ¿Existe alguna
forma de que solo con que llegue un correo a la bandeja de entrada se infecte un dispositivo
con un virus? La respuesta es que no. Así de simple: NO. Déjenme, por favor, destacarlo en
negrita.
¿Cómo así? Bien. En algunos casos puede existir alguna vulnerabilidad en clientes de correo
específicos (ejemplo: Microsoft Outlook, Thunderbird o la aplicación de correos de Android)
que puedan ser explotadas bajo circunstancias especiales siempre y cuando se abra un
correo el cual pueda contener algún código malicioso específicamente diseñado para poder
vulnerar la aplicación puntual en una versión determinada (así funciona la mayoría de los
exploits), pero de ahí a afirmar que basta con que llegue un correo para que un equipo se
infecte, es incluso hasta irresponsable diría yo y demuestra el total desconocimiento por
parte de Smith Leay de cómo funcionan los servidores de correo y los sistemas de mensajería
digital.
Esto es porque cuando llega un correo a la bandeja de entrada, significa que ese correo llegó
al servidor (que puede estar ubicado en Jamaica, quién sabe) y el cliente de correos
simplemente interpreta los datos que envía el servidor como una etiqueta para indicar que
hay un mensaje nuevo en la bandeja de entradas.
Para explicarlo de manera más simple: Supongamos que Smith Leay me quiera interceptar
los mensajes de Whatsapp y Telegram y para ello envía un correo electrónico malicioso a mi
dirección pcolomes@gmail.com utilizando su software ANTORCHA. Recordemos que este
correo viene, según sus propias palabras, en forma de promociones o publicidad.
Supongamos que mágicamente este correo se saltó los inteligentísimos algoritmos
(diseñados por ingenieros expertos de Google) que tienen los filtros antispam de Gmail para
detectar correos no deseados. Asumiendo esa improbabilidad, digamos que entonces ahora
tengo un correo electrónico en mi bandeja de entrada el cual YA me infectó sin siquiera yo
abrir el mensaje ¿cierto?. Pero ¿cómo me infectó si aún ni siquiera abro el mensaje, lo cual
eventualmente haría que se ejecute el código malicioso que finalmente lograría leer mis
mensajes privados de Whatsapp y Telegram?
Esto es una falacia. No tiene otra explicación. Lo que argumenta aquí Smith Leay no tiene
ningún sustento técnico y carece de toda credibilidad. Lo siento colega Smith, pero esto no
tiene sentido.
8) “No era necesario que el usuario abriera el correo que se le había enviado. Sólo bastaba
con que ingresara a la bandeja y luego el usuario utilizara aplicaciones tales como
whatsapp y telegram. Esta información se podía observar en otro aparato”.
Siguiendo el ejemplo anterior, Smith Leay me envió un supuesto correo infectado, me llegó
a mi bandeja de correo electrónico PERO AÚN NO LO ABRO. Es decir, el correo está ahí.. sin
leer, yo lo he ignorado totalmente y ahora en mi celular abro Whatsapp. ¡SORPRESA…! ¡He
sido hackeado! En ese mismo instante Smith Leay estará viendo mi Whatsapp en otro
aparato.
Aquí hay otra cosa que no cuadra: Resulta que para que este hackeo funcione, primero se
necesita que la víctima tenga un celular tipo smartphone que soporte instalar Whatsapp y
que soporte correo electrónico. Cómo se mencionó en el punto número 5, esta aplicación
de Smith Leay también permite lanzar este ataque en teléfonos iPhone (iOS). Resulta que lo
extraño es que este sistema operativo viene con una restricción de seguridad de fábrica y es
que todas las aplicaciones corren en un sistema super restrictivo que se llama “sandbox” (los
desarrolladores de aplicaciones móviles sabrán bien de lo que hablo) donde están
restringidas y confinadas a ejecutarse aislada de otras aplicaciones. Esto significa que cada
aplicación que se abre en el celular no se puede comunicar con otra a menos que se ejecuten
en el mismo “sandbox” y para ello habría que cumplir con una serie de requisitos, partiendo
con que ambas aplicaciones deban incluir una firma digital compatible entre sí, y eso
solamente es posibile si ambas aplicaciones han sido creadas por el mismo desarrollador. Es
decir, o Smith Leay debería haber creado él mismo tanto la aplicación de correos vulnerable
como también haber sido el desarrollador de Whatsapp y Telegram. Algo un poco
improbable creo yo, ¿no?.
Para que el ataque que explica Smith Leay funcione en un iPhone, de alguna manera la
aplicación de correos electrónicos que utilice el celular debe correr en el mismo sandbox que
Whatsapp, y también que Telegram. Esto es imposible, a menos que el usuario haya
ejecutado una cuestión que se llama JAILBREAK, donde básicamente rompe la seguridad del
teléfono y permite instalar estas aplicaciones especiales sin la limitación de las restricciones
impuestas por los sandboxes. El problema es que para hacer un Jailbreak se necesita que el
teléfono tenga una versión de sistema operativo vulnerable (no todos los iOS se pueden
“jailbreakear”) y lo otro es que el dueño del teléfono haya realizado este complejo proceso
manualmente ya que es imposible hacerlo de forma remota y automática.
Entonces, resumiendo:
Smith Leay me envía un correo con publicidad (¡Hey Paulo, cómprate estos últimos lentes de
sol marca RayBan a solo $50.000 pesos!), el correo se salta mágicamente todos los filtros
antispam y antivirus de Gmail, cae en mi bandeja de entrada, yo no lo tomo en cuenta,
ejecuto Whatsapp para hablar con mis amigos y este correo mágico automáticamente
ejecuta un Jailbreak automático en mi iPhone (proceso que solo se hace manualmente, pero
bueno…), elimina los sandboxes (no sé como, porque ni el FBI puede sin Jailbreak), accede a
los datos de input/ouput de la aplicación Whatsapp y replica los datos en un servidor remoto.
De película.
9) “El sistema fue evolucionando y fue denominado “antorcha”, inicialmente sólo
capturaba texto. La información que se captaba se almacenaba en el servidor de la UIOE,
en formato html”
OK. Esto confirma mis sospechas. Se trata de un sistema Web entonces tal como predije en
el punto 1 ya que está basado en formato HTML (Web).
10) “La información que se captaba se almacenaba en el servidor UIOE, en formato HTML.
Yo no operaba la aplicación. Yo la diseñé y la entregué conforme a lo que me solicitaron
y eso fue mejorando con el tiempo. El cabo Olave era quien descargaba la información.
Inicialmente copiaba la información desde el servidor a un documento Word. El servidor
se denominó airs.cl y su clave era 478712000. El dominio se compró en Nic Chile, ignoro el
nombre de a quién se le compró”.
Alex, si estás leyendo esto, te comento que en NIC hay una opción donde puedes ver
fácilmente a nombre de quién se compró el dominio AIRS.CL. Figura un tal “Mario Parra”.
Incluso, con dos clicks más (algo que alguien como tú debiese saber, creo yo) se puede
obtener un poco más de información sobre Mario Parra:
Concretamente, el servidor airs.cl está actualmente dado de baja:
Pero hay información que aún se puede obtener de este sistema. Ya sabemos que en NIC.CL
aparece el nombre de Mario Parra, pero se puede consultar un poco más. Tenemos este
servidor interesante así que hay que ver qué otra información contiene. Lo primero que hago
es ir a Google y escribir site:airs.cl. Esto instruirá a Google a mostrarme todos los registros y
enlaces que tenga guardados sobre el sitio airs.cl. Acá comienzan a salir algunas sorpresas:
Como se puede apreciar en la imagen superior, hay algunos links intersantes.
¿http://airs.cl/Wifi.html?, ¿http://airs.cl/Telegram.html?, ¿http://airs.cl/Wthatsapp.html?
Naturalmente que hay que ver qué contienen esos links, ya que en la declaración se indica
que el servidor utilizado por la aplicación ANTORCHA sería AIRS.CL y vemos que de forma
oculta, aún hay indicios de que en este servidor se ha almacenado información relacionada
con Telegram y Whatsapp (aun cuando aparece mal escrito, no es error mío ni de Google, si
no del desarrollador (Smith)).
Esta página Web que dice “Chile Fundos” (¿¿??) tiene una foto de un campo con un logo de
Telegram y un formulario que pide un número de celular, un e-mail y un código IMEI. Esto es
lo mismo que dijo Smith Leay que le solicitaba su software para enviar los mensajes
maliciosos y que justamente estaba alojado aquí en este mismo servidor AIRS.CL. Esto no
puede ser una coincidencia creo yo.
Lo más extraño de todo es que si uno hace click en uno de los links “normales”, por ejemplo
http://airs.cl/Parcela1.html (el cual no tiene ninguna referencia a Whatsapp ni Telegram) se
muestra un sitio donde supuestamente se está vendiendo un terreno, pero al piede página
sale un nombre:
Alejandro Villanueva Carvallo, Celular y correo. Al hacer una búsqueda en Google de él, se
muestra un perfil que tiene algunas cosas que llaman la atención:
Sin realmente saber si es esta persona la que figura al pie de página en AIRS.CL, curiosamente
pareciera ser de Temuco y haber tenido relación con el área Agrícola en Temuco, al igual que
Alex Smith. Dejaré esto ahí no más porque lo considero un antecedente anecdótico en todo
este tema. Volvamos ahora al sitio Web http://airs.cl/Telegram.html que sería el mismismo
ANTORCHA descrito por Alex Smith en su declaración.
Sin ingreso a este sitio y lleno los datos del formulario con mi teléfono, mi email y mi IMEI y
presiono “Enviar” (si, soy un suicida.. lo sé), adivinen que sucede… nada. La aplicación
simplemente no hace nada. No es que se haya quedado “pegada” o tenga un fallo.
Simplemente no hace nada en absoluto. Esto no me convence y me parece raro. Hasta este
punto tengo tres teorías en mi cabeza:
1) Lo que estoy viendo es pura y total casualidad y no tiene nada que ver con lo que estamos
investigando, a pesar de que el dominio “AIRS.CL” es el correcto.
2) Que Smith Leay haya preparado todo esto y sea una persona muy inteligente (y al a vez
perversa) que simplemente se esté burlando de todos nosotros viendo como nos divertimos
tratando de analizar esta información que el mismo preparó como distractor para ocultar el
software verdadero que se comporta de una manera totalmente diferente a la que él ha
declarado y todo el tiempo nos ha estado mintiendo, siendo que en su declaración se enfoca
en comentar sobre un software falso ya que el verdadero estaría protegido por Carabineros
y esta sería solo una técnica de distracción. Nada raro considerando que aquí está operando
nada menos que la sección de Inteligencia de la Policía.
3) Que Smith Leay haya realmente creado estos sitios Web y que le haya hecho creer a otras
personas (incluyendo a Carabineros) que este sistema es la aplicación ANTORCHA. El
problema con esta teoría es que, de ser cierta, no quedaría más que concluir que Alex Smith
es una persona en extremo falsa, que inventa situaciones que no son reales solo para
justificar sus escasos conocimientos frente a una institución que le estaría pagando un sueldo
bastante alto y ante lo cual su única forma de validación sería mentir sobre la aplicación y
todo el proceso, sabiendo la carga judicial que eso implica.
No obstante, quiero ver porqué ese código del sitio Telegram.html no funciona. Tal vez está
apuntando a un servidor oculto que no está disponible o que las claves de encriptación de la
comunicación no son suficientemente seguras. Para eso voy a ver el código fuente de la
página (un procedimiento que Smith Leay dijo que hacía al principio de este texto):
Voy a poner el código completo acá en caso de que desaparezca de la Web pronto:
<SCRIPT>
<!--
function ir(){
if (document.frm.id_entidad.value==0 ||document.frm.id_entidad.value==-1){
alert('Debe Seleccionar una Institución')
return
}
else
if (document.frm.id_carrera.value==0)
window.open("/link.cgi/sedes/"+document.frm.id_entidad.value+"?tpl=UST_Sedes_Portada.tpl")
else
window.open("/link.cgi/carreras/"+document.frm.id_carrera.value+"?tpl=UST_Carreras_Portada.tpl")
}
//-->
</SCRIPT>
<LINK href="UST_archivos/css.css" type=text/css rel=stylesheet>
<STYLE type=text/css>
BODY {
BACKGROUND-COLOR: #CCCCCC;
margin-top: 5px;
}
.style2 {
COLOR: #ffffff
}
.style3 {
FONT-WEIGHT: bold; FONT-SIZE: 12px; COLOR: #003300; FONT-FAMILY: Arial, Helvetica, sans-serif
}
.style4 {
COLOR: #00201c
}
.Estilo5 {font-size: 12px}
.Estilo7 {color: #0000FF}
.Estilo13 {font-size: 10px}
.Estilo15 {font-size: 13px}
.Estilo16 {
COLOR: #00201c;
font-size: 12px;
font-weight: bold;
}
</STYLE>
<META content="MSHTML 6.00.2900.3603" name=GENERATOR></HEAD>
<BODY
onload="MM_preloadImages('images/botones/ir_home_on.gif','images/botones/home_on.gif','images/botones/intranet_on.gif','i
mages/botones/servicios_on.gif','images/botones/herramientas_on.gif','images/botones/mapa_on.gif','images/botones/contacto_
on.gif','../Página Web/Vilcun1/Vilcun_1 (9).JPG','../Página Web/Gorgea2/Gorbea_1 (4).JPG','../Página
Web/Gorbea3/Gorbea_3 (6).JPG','../Página Web/Gorbea4/Gorbea_4 (7).JPG','../Página Web/Pitrufquen5/Resize of
008.JPG','../Página Web/Tolten6/Toltén (1).JPG','../Página Web/Gorbea3/Gorbea_3
(3).JPG','../Página Web/Trovolhue7/Trovolhue (1).JPG','../Página Web/Cherquenco8/Cherquenco
(2).JPG','../Página Web/Loncoche9/Loncoche (2).JPG','../Página Web/Laureles10/Los_Laureles
(10).JPG','../Página Web/Huichahue_2.jpg','Vilcun1/Vilcun_1 (7).JPG','Gorgea2/Gorbea_1 (4).JPG','Gorbea3/Gorbea_3
(3).JPG','Gorbea4/Gorbea_4 (7).JPG','Pitrufquen5/Resize of 012.JPG','Tolten6/Toltén (6).JPG','Trovolhue7/Trovolhue
(8).JPG','Cherquenco8/Cherquenco (3).JPG','Loncoche9/Loncoche (7).JPG','Laureles10/Los_Laureles (10).JPG')">
<FORM name=frm action=nada>
<TABLE cellSpacing=0 cellPadding=0 width=754 align=center border=0>
<TBODY>
<TR>
<TD width="754" height=113 align=middle bgcolor="#FFFFFF" class=header_home><div align="left"><img src="Logo.jpg"
width="180" height="120">
<object classid="clsid:166B1BCA-3F9C-11CF-8075-444553540000"
codebase="http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab#version=8,5,0,0" width="562" height="120">
<param name="src" value="barnner.swf">
<embed src="barnner.swf" pluginspage="http://www.macromedia.com/shockwave/download/" width="562"
height="120"></embed>
</object>
</div></TD>
</TR>
<TR>
<TD height=2></TD></TR>
<TR>
<TD vAlign=top align=left height=93>
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD vAlign=top align=middle><IMG height=13
src="UST_archivos/top_botto.gif" width=750></TD></TR>
<TR>
<TD vAlign=top align=middle><IMG height=17 alt=""
src="UST_archivos/top_botto2.gif" width=750></TD></TR>
<TR>
<TD align=middle height=19>
<TABLE cellSpacing=0 cellPadding=0 width=750 border=0>
<TBODY>
<TR>
<TD vAlign=top align=middle
background=UST_archivos/bg_top_botto3.gif>
<TABLE cellSpacing=0 cellPadding=0 width=733 border=0>
<TBODY>
<TR>
<TD align=left><div align="left"></div></TD>
<TD align=left> </TD>
<TD align=left><a href="index.html"><img src="icono_home.jpg" alt="1" width="53" height="55" border="0"></a></TD>
<TD align=left> </TD>
<TD align=left> </TD>
<TD width="196" align=left><div align="right"><a href="index.html"></a></div></TD>
<TD width="69" align=left><div align="right"><img src="icono-facebook.png" width="35" height="25" border="0"></div></TD>
<TD width="68" align=left><div align="right"><img src="Mail.png" width="35" height="25" border="0"></div></TD>
<TD width="29" align=left> </TD>
<TD width="6" align=left> </TD>
</TR>
<TR>
<TD width=361 colspan="4" vAlign=top><p> </p>
<TABLE width=179 align=center>
<TBODY>
<TR>
<TD width=169 height="22" vAlign=top><div align="left"><a href="#" onMouseOut="MM_swapImgRestore()"
onMouseOver="MM_swapImage('Image21','','Vilcun1/Vilcun_1 (7).JPG',1)"></a><a href="#"
onMouseOut="MM_swapImgRestore()" onMouseOver="MM_swapImage('Image10','','../Página Web/Vilcun1/Vilcun_1
(9).JPG',1)"></a> Celular:<br>
<input name="name" size="30" type="text">
<br>
E-mail:<br>
<input name="email" size="30" type="text">
<br>
Imei:<br>
<textarea name="message" rows="7" cols="30">
</textarea>
<br>
<input name="Restablecer" type="reset" value="Enviar">
</div></TD>
</TR></TBODY></TABLE>
<BR>
<BR>
<p> </p>
<BR></TD>
<TD width=4
background=UST_archivos/linea_punt_vert.gif><IMG
src="UST_archivos/pixel_transp.gif"></TD>
<TD colspan="4" vAlign=top><BR>
<BR>
<TABLE width=69 align=center>
<TBODY>
<TR>
<TD width=59 height="30" vAlign=top><img src="Vilcun1/Vilcun_1 (14).JPG" width="300" height="250"></TD>
</TR>
</TBODY></TABLE>
<p> </p>
<BR></TD>
</TR></TBODY></TABLE></TD></TR></TBODY></TABLE></TD></TR>
</TBODY></TABLE></TD></TR>
<TR>
<TD vAlign=top>
<DIV align=center><IMG height=49 src="UST_archivos/footer_new.gif"
width=750></DIV></TD></TR></TBODY></TABLE>
<p align="center"> </p>
</FORM></BODY></HTML>
Quiero que observen dos cosas, que están destacadas en color rojo en el código de arriba.
a) ¿Leyeron la 2da línea que dice: <!-- saved from url=(0022)http://www.ust.cl/ust/ -->?
Este código, quien sea que lo haya hecho, lo copió directamente desde el sitio Web de la
universidad Santo Tomás (ust.cl), donde Smith Leay trabajaba como docente también. No es
un código desarrollado totalmente por quien sea que lo haya hecho. Es una copia. Incluso
los links dicen “UST_archivos” y en alguna parte del código se invoca la instrucción
("/link.cgi/sedes/"+document.frm.id_entidad.value+"?tpl=UST_Sedes_Portada.tpl").
¿Alguna duda de que esto fue copiado de Santo Tomás?
b) Quiero ver qué es lo que hace el formulario de conexión. Para eso vemos el valor del
parámetro ACTION dentro del tag FORM. Me costó un poco encontrarlo entre tanto
desorden del código pero miren, por favor. Esto dice (búsquenlo ustedes mismos si quieren.
Y si se perdió el sitio, consulten cache:airs.cl/Telegram.html para ver la caché de Google):
Ahí está la respuesta a todos los problemas y el fin del misterio. Para quienes no son del área
técnica y se perdieron un poco:
- Estamos revisando el servidor AIRS.CL donde se aloja la aplicación que Smith Leay
utilizaba para interceptar mensajes.
- En esta aplicación, de acuerdo a sus propias palabras, se debe ingresar un teléfono,
un correo electrónico, un IMEI y un SimCard.
- En el sitio Web airs.cl/Telegram.html está toda esta información, excepto la de
SimCard (aunque yo ya decía más atrás que esto era inútil de solicitar).
- Reviso el código de la aplicación para ver qué es lo que hace este software al
momento de presionar el botón “Enviar”.
- La respuesta es que el mismo formulario dice “nada”.
¿Será que realmente encontramos la evidencia de que ANTORCHA es un invento total o este
sitio AIRS.CL es un distractor solamente?
11) “La inspiración que habría tenido era un programa que existe un servicio de
inteligencia de otros países como Israel, “pero no se trata de una herramienta que se
pueda adquirir en el mercado. Yo me aboque a desarrollarla en mis ratos libres, sin cobrar
nada, tardando cerca de un mes en crear un primer prototipo operativo. Quiero hacer
presente que realicé esta labor pues es mi pasión es la programación y mi intención es
marcar un sello”.
Israel, potencia militar mundial, tendría una herramienta similar (lo dudo, sinceramente) la
cual costaría mucho mucho dinero que la institución de Carabineros de Chile, la misma que
compra armamento, helicópteros, construye cuarteles, invierte en tecnología para sus
funcionarios y que tiene un presupuesto del orden de los cientos de millones de dólares ni
siquiera puede comprar, pero Smith Leay quiso hacerla gratis, sin cobrar nada y trabajar en
ella solo en sus ratos libres…. Porque solo quiere marcar un sello. ¿Por qué entonces Israel
cobraría tan caro por una aplicación, que ni Carabineros pueda pagar por ello, si un ingeniero
forestal de Temuco es capaz de hacerla gratis y en sus ratos libres más encima? ¿No será que
no quiso cobrar porque no podía dar ninguna garantía de que esta aplicación realmente
funcione como corresponde? ¿Será que todo es un invento y nada más? Es otra curiosidad
que me llama poderosamente la atención.
12) “La herramienta Antorcha nunca permitió, en ninguna de sus versiones, recuperar
conversaciones anteriores. Sólo era un espejo de lo que se escribía, inicialmente, ni
siquiera se podía obtener día y hora de la conversación. Sólo lo que el usuario del teléfono
intervenido escribía y el apodo del interlocutor del teléfono intervenido”
Los Keylogger son herramientas bien conocidas y la totalidad de los antivirus hoy en día los
detecta y los elimina. Incluso el sistema antivirus de Gmail los detecta y los elimina. También
si Alex Smith diseñó su propio Keylogger, existen altas posibilidades de que Google lo detecte
también, pues el comportamiento de las firmas binarias en el código de este Keylogger sería
fácilmente detectable por un antivirus.
Por otro lado, un Keylogger solo puede capturar lo que se ingresa por teclado, pero todos
vimos como se presentaron evidencias de que las conversaciones de Whatsapp fueron
interceptadas hasta con colores:
Bajo todo lo que hemos hablado. Si Smith Leay efectivamente infectó el teléfono smartphone
de Héctor Llaitul (suponiendo que haya tenido uno), ¿Cómo logró obtener el mensaje de
Martín Curiche si él mismo acaba de indicar que su herramienta es un Keylogger no más, y
los Keylogger no pueden inventar un texto entrante?
14) “No he creado otras aplicaciones para Carabineros. Yo no puedo patentar estas
aplicaciones porque podrían ser mal utilizadas. Yo no busco dinero. Yo tengo el
reconocimiento de Carabineros y con eso a mí me basta. No va con mis valores ni mi forma
de ver la vida”.
Alex, doble ingeniero con MBA y un lote de diplomados debería estar al tanto de que las
aplicaciones no se pueden patentar como tal. Los software NO se patentan. Lo que se
patenta es un método, un algoritmo, un procedimiento, un protocolo, una rutina, un proceso
o un flujo de información único asociado a un sistema (sistema en general, como el concepto
lo indica, no necesariamente hablando de un sistema informático) el cual puede ser después
llevado a un software. No es que no se pueda patentar esas aplicaciones porque puedan ser
mal utilizadas. Simplemente no se puede patentar una aplicación.
En este breve paper (uff, ya van como 20 y tantas hojas y ni cuenta me dí…) me enfoqué en
analizar puntualmente cada cosa que se menciona respecto al funcionamiento de esta
supuesta herramienta, con la intención de descubrir la veracidad de estas afirmaciones y
también la existencia de este software ya que, de ser real, podría revolucionar las
comunicaciones a nivel mundial e incluso podría permitirle a gobiernos tan poderosos como
el de EE.UU. resolver cosas tan importantes como asuntos pendientes de espionaje con
terroristas, gobiernos enemigos (y amigos también… Hallo Deutschland) acceder a
información invaluable, solo comparable con lo sucedido en la Segunda Guerra Mundial con
el rompimiento del cifrado de la máquina Enigma de los Nazis, lo que ayudó a EE.UU.
finalmente ganar la guerra.
En esta línea, y luego de analizar puntualmente los puntos existentes solo puedo concluir
que si Alex Smith Leay está diciendo la verdad, y es que realmente desarrolló un sistema que
logra hacer lo que él dice que hace, el cual NO es bajo ninguna circunstancia el que
mostramos acá en este reporte y que tampoco estaría alojado en el servidor AIRS.CL como
él mismo indicó sino que se trataría en realidad de otro software, la única posibilidad es que
el ingeniero haya descubierto una vulnerabilidad muy grave que afecte simultáneamente a
los siguientes productos:
Que además de haber descubierto esa vulnerabilidad, hasta ahora no conocida por ninguno
de los grupos de ingenieros de los fabricantes indicados (lo que técnicamente se conoce
como 0-day o “vulnerabilidad de día cero”) también fue capaz de crear un código para
explotar esa vulnerabilidad (lo que se conoce como “exploit”) de manera magistral y brillante
como hasta ahora no se haya tenido registro en la historia de la existencia de estos servicios
y que por este motivo, la historia y la sociedad global le otorgue a Alex Smith Leay el
calificativo de uno de los mejores hackers del mundo, a pesar de mantener un perfil
totalmente bajo y que, en su increíble habilidad propia de sus extraordinarias capacidades,
haya logrado mantenerse ante el mundo y la sociedad como un simple profesor de Excel y
que sea capaz de despistar a todos los expertos en el área al explicar las cosas que ha
explicado en el reportaje de tal manera que todos pensemos que se trata de un “chanta”
cuando la verdad es completamente lo opuesto.
O, por otra parte, puedo concluir que lo que ha dicho este señor es una total falacia y que
nada de lo que él ha declarado tiene sentido porque he podido constatar que de acuerdo a
sus dichos Alex Smith Leay:
Lo cual no permite más que concluir que definitvamente Alex Smith Leay está mintiendo y
su software ni siquiera es capaz de responder a un simple click (tal como lo demuestro en
este reporte).
Bajo este último punto de vista perfectamente podríamos clasificar a Alex Smith Leay como
un personaje que pasará a la historia del Hacking chileno como alguien con el mismo perfil
que Pedro Gaete lo es para la sismología
(https://www.guioteca.com/curiosidades/cuestionado-ingeniero-pedro-gaete-predice-
terremoto-en-septiembre-para-chile/) o Manuel Salinas junto a su recordado robot Arturito
(http://poleras.blogspot.cl/2005/10/inventor-de-arturito-dio-la-cara-y-no.html), es decir, un
chanta profesional.
Personalmente me quedo con esta última opción, aunque espero estar rotundamente
equivocado.