VE Sin Filtro, ONG que se dedica a monitorear el estado del internet en Venezuela, así como la censura, ha reportado desde el 12 de febrero ataques informáticos realizados por parte de la tiranía de Nicolás Maduro para robar información y datos importantes de venezolanos. El periodista venezolano Luis Carlos Díaz ha estado reportando en sus medios los hallazgos que varios expertos en seguridad han encontrado al respecto, y VE Sin Filtro ha publicado un informe con las pruebas y hallazgos de expertos.
¿Quiénes son Frank Lopez y Gabriel Porco?
Sus nombres aparecen en el fraude digital desde instituciones gubernamentales.
Informe de @VeSinFiltro
Phishing impulsado por el gobierno de Venezuela pone en riesgo a activistas y usuarios de internethttps://t.co/AhC42o3c1P— LCD (@LuisCarlos) February 15, 2019
El phishing, la técnica que estaría usando la tiranía para robar datos y suplantar páginas, es un delito en Estados Unidos, y el servidor desde el que se estaría haciendo todo este ataque informático se encuentra en Nueva York, por lo tanto aplican las leyes estatales por delitos informáticos, y además el caso sería investigado por el FBI porque incluso calificaría como delito federal al haber atacado a personas en otro país.
De modo que los hallazgos de expertos respecto al robo de datos por parte de la tiranía de Maduro, además de proteger a incautos de estar revelando su información a los chavistas, podría terminar en la investigación y captura por parte del FBI de los implicados en estos delitos.
Al respecto, hablamos con José Luis Rivas, experto en seguridad informática y uno de los activistas venezolanos que ha estado investigando y denunciando el delito informático cometido por la tiranía de Maduro.
¿En qué consiste el robo de datos a Venezolanos, por parte de la tiranía de Maduro, que usted y otros expertos en seguridad han estado investigando y denunciando?
Sabíamos desde hace varios años que el chavismo usaba CANTV (la empresa estatal proveedora de telefonía e internet más grande del país) y Movilnet (el proveedor estatal de telefonía móvil más grande del país) para censurar contenidos.
Durante años fue un reporte común que censuraron YouTube, Facebook, Instagram y Twitter en momentos de protestas grandes. Sin embargo, el 12 de febrero se presentó un nuevo elemento. Ahora la tiranía estaba haciendo phishing contra el sitio web para registro de voluntarios que van a entregar la ayuda humanitaria organizada por el gobierno de Juan Guaidó.
El phishing es un tipo de ataque informático que consiste en lograr que una página web luzca idéntica a otra, de tal forma que se pueda robar credenciales (usuario y contraseña de alguna cuenta) de personas que creen estar entrando por ejemplo a su correo o redes sociales cuando en realidad dejan sus datos en una página creada por el ladrón. Sin embargo, en este caso el chavismo no iba tras las credenciales, pues en voluntariosxvenezuela.com, la página de registro del voluntariado, no se hace login. En vez de eso, el chavismo iba tras los datos de registro de las personas que quieren colaborar en la entrega de la ayuda humanitaria.
¿Qué datos? ¿Qué consiguen con estos datos?
Los datos en el formulario son: nombre, teléfono celular, correo electrónico, cédula de identidad, lugar donde vive y si es personal médico. Estos datos, para quienes no comprenden la importancia de la información, pueden parecer inofensivos. Pero para dar solo un ejemplo de lo peligrosa que puede ser esta información en manos de una tiranía podemos recordar lo que sucedió con la Lista Tascón hecha por el chavismo.
Esta lista tenía los nombres y números de cédula de las personas que habían firmado en 2003 y 2004 para pedir un referéndum revocatorio contra el entonces presidente Hugo Chávez. Esto significó para muchos el despido de su sitio de trabajo, no recibir ayudas, ser vetado de cualquier cosa que tuviese que ver con el gobierno, y en un país como Venezuela donde el gobierno es tan grande y ocupa tantos espacios significó una muerte económica para muchos.
Pero, además, hay que recordar que la persecución política en los últimos meses ha arreciado hasta llegar a la comisión de delitos de lesa humanidad. Hay que recordar, por ejemplo, que la tiranía ha utilizado fotos de niños que participan en marchas para encontrarlos en sus colegios, barrios y luego capturarlos. Ahora tienen: número de teléfono, nombre, email, en qué municipio vive. Todo esto por supuesto es más peligroso para las personas que viven en pequeños pueblos donde todos se conocen y el chavismo mediante consejos comunales y los grupos paramilitares que ellos llaman “colectivos” puede ejercer un mayor control sobre la población.
Específicamente ¿cómo consiguen estos datos? ¿Cómo hacen el ataque?
Aprovecharon que ellos controlan la infraestructura tecnológica. Cuando se controla la infraestructura se pueden controlar muchos elementos. Uno de los ataques que hicieron se llama DNS spoofing. La persona entra a una página y sin darse cuenta es redireccionada a otra página que luce completamente igual a la que se quería ingresar, y como nadie se fija en la dirección web o nombre de dominio, muy pocos se dan cuenta de que están ingresando sus datos en una página diferente.
Afortunadamente se equivocaron en algunos pasos y dejaron entrever lo que estaba sucediendo, la gente empezó a denunciar y se logró desmontar mediante contra ataques, llamados denegación de servicio (DoS), el servidor desde donde se hacía parte del ataque. Pero al analizar los rastros que habían dejado reveló nueva información: el phishing no era sólo en voluntariosxvenezuela.com, atacaron más páginas.
¿Qué páginas? ¿Cómo atacaron estas páginas?
Lo que conseguimos fue que ese servidor que usaron para atacar la página de voluntariado, tenía rastros de otros nombres relacionados con Gmail, Instagram, Facebook, Twitter, Google, Linkedin y Live (que antiguamente era hotmail).
Al buscar historiales de phishing enlazados con esa IP y con esos dominios nos conseguimos con páginas en funcionamiento para phishing desde al menos el 16 de agosto de 2018. Todo indica que han estado usando esta infraestructura para robar las credenciales de personas en estas redes sociales y correos electrónicos. Teniendo la infraestructura de CANTV y Movilnet en sus manos significa que pueden atacar a cualquier persona, usurpando nombres de dominio de sitios muy conocidos.
Lo peor, es que detrás de esto dejaron rastros que siempre apuntaron al gobierno: las víctimas, la infraestructura usada, incluso en el registro de los nombres de dominio de los emails y las redes sociales dejaron números telefónicos asociados con entidades estatales. Fueron muy descuidados y gracias a eso pudimos destapar quiénes estuvieron detrás todo este tiempo.