lunes, 22 de diciembre de 2014

Nuevo round de la interna entre espías: Milani prepara un ejército de hackers "éticos"

Por José M. Stella e Ignacio Montes de Oca

Pasaron pocos días desde que la presidente Cristina Kirchner decidió descabezar la cúpula de la Secretaría de Inteligencia (SI) y poner al frente de ese organismo a Oscar Parrilli, un hombre de su extrema confianza y a Juan Martín Mena, un militante de La Cámpora que responde al primogénito presidencial.
Anexo de la LP 93-2014 de la Dirección de Inteligencia del Ejército
Sin embargo, quienes entienden de las internas del área de inteligencia, afirman que quien será el verdadero responsable de la SI no es otro que el titular del Ejército, el teniente general César Santos Gerardo del Corazón de Jesús Milani.
La expansión del poder de Milani queda en evidencia en los documentos públicos a los que accedió (Eliminando Variables). En ellos se describen unos curiosos cursos que la Dirección General de Inteligencia del Ejército Argentino contrata para parte de personal de esa repartición. El objetivo es que se especialicen en “hackeos éticos” de redes y penetración de páginas web, e-mails y redes sociales.
El tema no es menor. No sólo hay temores fundados que muchos de estos cursos tengan como objetivo espiar computadoras personales accediendo a e-mails, redes sociales o rastreo de datos  pertenecientes a  jueces y fiscales que actualmente investigan casos de supuesta corrupción del poder (o incluso, del Poder Ejecutivo y su familia), sino que al ser el 2015 un año electoral,  existen dudas sobre si estos cursos no podrían ser utilizados para espiar a futuros candidatos opositores, como así también a periodistas o dirigentes sociales.
Recordemos que las Fuerzas Armadas tienen terminantemente prohibido por Ley realizar tareas de seguridad interior y espionaje. No obstante, las limitaciones legales nunca fueron un impedimento para que los espías locales ejerzan sus tareas dentro de las fronteras.
De acuerdo con documentos a los que accedió en exclusiva (Eliminando Variables), desde el 25 de noviembre de este año, un total de 23 personas pertenecientes a la Dirección General de Inteligencia del Ejército Argentino realizan cursos sobre penetración de redes (“Hackeo Ético”) y explotación de vulnerabilidades en la red y su impacto, entre otros.
Tales datos surgen de la Licitación Privada 0093/2014, en cuyas especificaciones técnicas (N° 04/CDEF/14) solicita, mediante cuatro renglones, el dictado de cursos a “proveedores que deben demostrar una antigüedad mayor a 3 años de actividad en Capacitación y Certificación de Profesionales, en el mercado de Argentina”.  E, incluso, en los pliegos se exige que el proveedor adjudicado ofrezca la “capacitación presencial " en la CABA y “disponer del hardware necesario para dictar cursos”.
Por ejemplo, en el renglón 1 de esta licitación se pide un curso para cinco personas de Genexus EV3 Para Smart Devices; en el renglón 2,  un curso de test de penetración en redes (Ethical Hacking) para 8 personas; en el renglón 3 un curso de analista programador en Genexus Evol.3 para cinco personas y, por último, en el renglón 4, un curso de explotación de vulnerabilidades e impacto para 10 personas.
Detalles de los cursos a cursar por los miembros de Inteligencia
(Eliminando Variables) no pudo conocer quién fue el o los adjudicatarios de estos cursos, ni el precio que desde el Ejército se pagó por los mismos.
 
Los Hackeos Éticos
El denominado “Hacker Ético Certificado” no es otra cosa que una persona con herramientas para acceder a redes o computadoras utilizando los mismos métodos que un hacker, y cuyo fin es hallar supuestas vulnerabilidades o arreglar la seguridad de los sistemas. A diferencia de los hackers que ingresan en redes y sistemas sin autorización (o “crackers”), los “hackers éticos” cuentan con “permiso” de alguien para acceder a esos sistemas. En palabras más simples, tienen la autorización del cliente para poner a prueba los sistemas informáticos usando los mismos métodos que se utilizarían para vulnerarlos en caso que no tuvieran permiso.
El término de hackeo ético, para muchos especialistas en sistemas, es una contradicción. En general, afirman que “no existe ser un hacker ético, como tampoco existe ser un violador ético”. En última instancia, entrenado en el arte de violentar la seguridad de las computadoras ajenas, no existe forma de saber que uso le dará el hacker a sus habilidades en caso de ser tentado por un cliente poco interesado en los límites éticos utilizados para conseguir lo que necesita. 
Consultado por este blog, Javier Smaldone, especialista en sistemas y seguridad, y un reconocido twittero, afirmó que "muchas veces, tener conocimiento de las herramientas de "hackeo ético" y usarlas adecuadamente,  es absolutamente necesario para darle seguridad informática a empresas, organizaciones o el público en general. Sin embargo, muchas veces se ingresa en un terreno gris, sobre todo cuando se utiliza desde el Estado, con el poder que se tiene desde ahí".  Y concluyó: "Con las herramientas adecuadas, como las que puede a llegar a tener el Estado, es relativamente fácil preparar a gente para acceder a sistemas".
Con los antecedentes de la denuncia de espionaje a instituciones políticas y sociales a través del  “Proyecto X” que maneja la Gendarmería Nacional y las constantes filtraciones de intimidades de personajes públicos que solo pueden provenir del espionaje cibernético, es lícito preguntarse cuál será el uso final que se le dará al ejército de hackers que están formando Milani y sus subordinados.  
 
Los cursos de Milani
Para el denominado “Hackeo Ético”, las ocho personas pertenecientes a la Dirección General de Inteligencia deberán cursar 40 horas cátedras, en días hábiles consecutivos de 9 a 18 horas. En el plan de estudios contratado por César Milani, por ejemplo, deberán aprender sobre “footprinting”, que es una técnica de recopilación de información sobre los sistemas informáticos y las entidades a las que pertenecen. O de técnicas de suplantación de IP, crackeo de passwords, ataques online pasivos y activos, ataques offline,  malwares, troyanos, puertas traseras, denegación de servicios, hijaking de sesiones,  entre otros.
Contenido de los cursos de hackeo
Los especialistas de inteligencia, además, aprenderán sobre “ataques internos”, fraudes online, robos de identidad y ataques de Phishing, como así también la infestación de puertos y dispositivos USB como de CD o DVD’s. Incluso, tendrán herramientas para el “traceo de E-Mails”, las “arañas web (Web Spiders)” e inteligencia competitiva y procesos de obtención de información. En cuanto a la Penetración web, los subordinados de Milani cursarán un total de 24 horas, que se dictarán en días hábiles consecutivos de 9 a 18 horas.
En todos los casos, estamos hablando de técnicas de hackeo que cubren casi todos los métodos actuales para intervenir una computadora ajena con el fin de hacerse de los datos personales, contables o laborales que hay dentro, y la posibilidad de controlar toda la actividad que el usuario realiza desde ella.
Y de nada sirve preparase ante la posible invasión comprando un antivirus moderno; los hombres del ejército aprenderán a evadir firewalls, cracking de cifrados WEP/WPA de redes WIFI, a capturar el tráfico de redes inalámbricas o el hackeo de redes inalámbricas y a realizar criptografías y técnicas de encriptación.
En el caso de los cursos de Genexus, podría  refiere al desarrollo de herramientas para eventual espionaje de teléfonos celulares, otro de los dispositivos en el que los ciudadanos suelen refugiar su intimidad. Considerando el creciente uso de SmartPhones, los especialistas que se graduarán en estos cursos tendrán un enorme potencial para trabajar en aquellos teléfonos que resulten interesantes de ser  vulnerados. 
Si bien la legislación argentina tiene grandes vacíos respecto a la actividad de los hackers, la Constitución Nacional protege la intimidad del individuo en su Artículo 19° y sería razonable preguntarse si los cursos no avanzan sobre ese derecho. Bien puede argumentarse que los que acuden a los cursos se dedicarán a enfrentar peligros cibernéticos externos, aunque la experiencia de las últimas décadas hace esa suposición algo débil.
Puede que la reciente aprobación de la denominada Ley Argentina Digital y su permiso para recopilar información de los ciudadanos con fines de “protección del orden” haya sido la señal que esperaban los espías militares para blanquear sus actividades de hackeo.
En cualquier caso, la ofensiva legislativa es seguida, de manera sugestiva, con este llamado a reforzar el ejército de hackers al mando de la inteligencia militar, cuyo único límite para internarse en las computadoras ajenas será respetar aquella denominación de “éticos”. Es una apuesta riesgosa en un país donde esa palabra tiene un valor cada vez más relativo.
En Twitter: @EliminandoV

72 comentarios:

  1. Nadie va a decir nada sobre esto?. Es gravísimo!!!!!!!!!!

    ResponderEliminar
    Respuestas
    1. También nos costó entender cómo podían hacerlo tan abiertamente

      Eliminar
  2. Algún diputado? Algún senador? Algún Juez? Algún fiscal? Alguien ahí? Digo, cuánto tiempo más vamos a permitir semejante despropósito.

    ResponderEliminar
    Respuestas
    1. Están en internas y cálculos electorales. No le dan bola a estas cosas tan poco trascendentes

      Eliminar
  3. Nadie hará nada porque les conviene dejar montado semejante aparato de espionaje. Cagamos muchachos.

    ResponderEliminar
    Respuestas
    1. Puede ser, pero si hay un solo indicio de ilegalidad, son complices

      Eliminar
  4. Congreso y Jueces: antes que los destrocen, por instinto de supervivencia: reaccionen

    ResponderEliminar
  5. Son cursos básicos que no sirven para nada

    ResponderEliminar
    Respuestas
    1. Son como los cursos de la Escuela de las Américas. Sirven para algo .El problema es quien es el primero en darse cuenta y quien los sufre

      Eliminar
    2. Che, Anonimo. Acaso das el curso?

      Eliminar
  6. No es ninguna novedad esto. El Estado te espía desde que tengo memoria.

    ResponderEliminar
    Respuestas
    1. Es cierto, el problema es que cuando se naturalizan ciertas prácticas, los corderos son mas corderos y los lobos mas lobos.

      Eliminar
  7. Nos espían tan impunemente y ninguno hace nada?. como es posible? Imbancable ya esto

    ResponderEliminar
    Respuestas
    1. La idea es que alguien reaccione, pero no somos optimistas

      Eliminar
  8. Muchachos, abandonen el barco. Es más seguro vivir debajo de un puente en Bolivia.
    Este país no tiene solución. O la que tiene (educación) ninguno de los que estamos leyendo esto hoy llegaremos a ver los resultados.
    Fuera de joda, déjense de joder y cierren todo.

    ResponderEliminar
    Respuestas
    1. Somos la orquesta que toca mientras el Titanic se hunde

      Eliminar
  9. Hackeo ético. Váyanse a la reputa que los remil parió. Todos. Oficialistas y opositores. Me da asco vivir así

    ResponderEliminar
    Respuestas
    1. Te entendemos, pero vale la pena intentar algo diferente. Abrazo

      Eliminar
  10. Los superespias se forman en la web? http://www.emagister.com.ar/ethical-hacker-security-training-cursos-2566413.htm es exactamente el curso que denuncias

    ResponderEliminar
  11. Nota operada mamarrachos cipayos de Clarín.

    ResponderEliminar
    Respuestas
    1. Claro, la nota la escribió el doctor Magneto en persona y la editó Wolverine con sus garras. Saludos a Barreda y ponete una gorra que el sol está muy fuerte

      Eliminar
  12. Mas allá de la graciosa paradoja del espía espiado. Un curso de 24 horas???? jajajajajaj que son rudientos de word? dejense de joder muchachos, trace, puertos, arañas, bots???? jajajaj tonterías

    ResponderEliminar
    Respuestas
    1. Es lo que dicen los documentos, no vamos mas allá de su redacción

      Eliminar
  13. Si realmente Milani prepara a sus espías con esto, me preocupa

    ResponderEliminar
  14. Si el estado no entrena gente para hackear sistemas, tendrá que contratar una empresa privada para que le pruebe las redes, y sale una fortuna, asi que mejor que entrenen a su propio personal. Toda organización importante que cuida de sus redes tiene administradores de sistemas que saben hackear o contratan empresas especializadas, no hay otra manera.
    Quejarse porque enseñen a hackear es como quejarse que enseñen a la policia a disparar, existe el riesgo que un policia use su conocimiento en armas para cometer delitos, pero no tampoco hay alternativas.

    ResponderEliminar
  15. "sería razonable preguntarse si los cursos no avanzan sobre ese derecho"
    El curso no avanza sobre ningún derecho. El tema es como se usa el conocimiento. Por ejemplo saber como violar un cifrado WEP sirve para saber los puntos debiles de este algoritmo y eventualmente mejorarlo, si nadie propagara esta información, los mecanismos de seguridad nunca evolucionarian y aun seguiriamos con WEP por ejemplo, que es fácil de violar.

    ResponderEliminar
    Respuestas
    1. Si viviéramos en Suiza o Suecia, te diría que tenés razón. Pero es Argentina, un país en el que la leyes son una referencia difusa.

      Eliminar
  16. Tanto escándalo por unos cursos de mierda? Bahhhh

    ResponderEliminar
    Respuestas
    1. Coincido, el tema del triángulo Redrado - Granata - luli o el estado de ánimo de Piquín no debe ser tapado por una nota tan marginal. ¿Viste que flaca está Luli? parece que los nervios la tienen mal. Y Piquín ¿Será cierto que anda con Noelia o anda con Marcelo?

      Eliminar
  17. Nitsuga (voy por vos, chabón)22 de diciembre de 2014, 20:16

    Malisimo el articulo. Por mas que este en contra de la SI y todo este tipo de organizmos, un organismo como el ejercito tiene que tener gente capacitada para realizar auditorias de los sistemas propios. De ahi a que usen lo que aprenden para hacer truchadas, ya es otro problema que esta amparado en la ley Argentina.

    Despues nos quejamos de que cualquier pelotudo hackea el ejercito y se roba toda la informacion que manejan.

    ResponderEliminar
    Respuestas
    1. Vamos por partes. Si no te gusta, con la boleta lo podés cambiar por una semblanza de Juana Azurduy firmada por Brienza o un CD de Copani. Segundo: los "organizmos" se han llenado de seseosos. Tercero: el artículo es una pregunta, que debiera ser respondida institucionalmente. No hay imputaciones, solo sospechas fundamentadas en la experiencia reciente. Cuarto: las truchadas no están amparadas por la justicia argentina, sino que debiera ser al revés. En todo caso, el fallido revela tus ideas profundas. Quinto: en ningun momento dudamos que el ejército debe tener las herramientas para evitar vulnerabilidades. Pero ese es otro menester que no es puesto en duda en la nota, salvo que algún hacker lo haya agregado sin que nos dieramos cuenta. Quinto: ¿a que se refiere el "voy por vos, chabón?". Si se refiere a alguno de nosotros permitinos chequear la agenda y con gusto arreglamos un encuentro entre tu manopla y nuestras caras. Abrazo.

      Eliminar
    2. En la enumeración se repite Quinto, fe de ratas

      Eliminar
    3. Ye tengo el IP, a la base de datos directo

      Eliminar
    4. Por ahí es epilepsia. Por las dudas, andá a un médico. ¿Te recomendamos alguno por tu zona?

      Eliminar
  18. Que "periodismo" berreta que hacen. En base a googlear, hacen estas "notas" Si fuera su editor, les doy una patada en el ojete..

    ResponderEliminar
    Respuestas
    1. Si vos fueras nuestro editor, renuncio y pongo una remisería en Longchamps.

      Eliminar
  19. Hacer el curso no implica que vayan a hackear a todos. Son cursos que puede tomar cualquiera. Esta bien tener gente capacitada. De última, la próxima vez se bajan la ISO de backtrack y que lo aprendan a usar de una.

    ResponderEliminar
    Respuestas
    1. Como le decía a otro lector, las circunstancias del escenario político ameritan preguntar para qué se toman esos cursos.

      Eliminar
  20. No termino de entender qué tiene de malo que el Estado, a través de cualquiera de sus organismos, prepare auditore de redes propias.

    ResponderEliminar
  21. Una de las notas más interesantes que leí en los últimos días. Los quiero felicitar por el hallazgo. Saludos cordiales

    ResponderEliminar
  22. Ignacio, en Argentina se desarrolla software, incluso de seguridad (hay un par de empresas de origen argentino que son lideres a nivel mundial en la materia, aunque ahora tienen capitales extranjeros), por lo que no hace falta ser Suiza para capacitarnos en la materia. El tema es que para aprender a defenderte de los hackers, la única manera es saber como piensan los hackers, y para eso hay que capacitarse, no hay otra.
    Sinceramente me preocuparía mucho si nunca hicieran este tipo de cursos.

    ResponderEliminar
  23. "entrenado en el arte de violentar la seguridad de las computadoras ajenas, no existe forma de saber que uso le dará el hacker a sus habilidades "
    Es verdad. Y cuando enseñas cerrajeria no saber si el cerajero usará ese conocimiento para hacer aperturas judiciales o para robar casas. (es posible por ejemplo hackear con una orden judicial si eso hace falta para capturar un sospechoso o evitar un delito). Es exactamente lo mismo.

    ResponderEliminar
    Respuestas
    1. Estamos de acuerdo que en el uso esta la clave, gracias

      Eliminar
  24. Estos cursos son del año del pedo, una joda.

    ResponderEliminar
    Respuestas
    1. fueron publicados hace unos dias...¿que sugeris?

      Eliminar
    2. No me refiero al documento en sí sino al temario, que tiene sus buenos años.

      Eliminar
    3. Tenes razón: troyanizar con netcat, hackear windows 2000 y xp...con cursos como eso no hackean a nadie. Lo único que faltan es que les enseñen a hacer troyanos en Visual Basic y me cago de risa.

      Eliminar
    4. ¿Dónde se puede conseguir todo el documento?. Ustedes dicen en el texto que son públicos. ¿Me pueden facilitar un link o lugar donde conseguirlo?. Muchas gracias

      Eliminar
    5. Recien hora se publican. Si se hacia antes, no habia constancias documentadas

      Eliminar
    6. Aja. ¿Y el link? ¿Me lo podés facilitar?.

      Eliminar
    7. Mandanos un correo a eliminandovariables@gmail.com. Saludos.

      Eliminar
  25. Les aviso que en esta página los están despellejando. Saludos http://www.reddit.com/r/argentina/comments/2q3vhj/nuevo_round_de_la_interna_entre_espías_milani/

    ResponderEliminar
    Respuestas
    1. Me parece genial que haya mucha gente piense o vea las cosas diferente. No somos dueños de la verdad, como así tampoco ellos son propietarios de la misma. Y gracias por el link. Desconocía ese sitio.

      Eliminar
    2. al buchón este le salió el tiro por la culata.

      Eliminar
    3. No veo que nos estén desmintiendo, por el contrario, el debate se centra en la cuestión técnica. Hablan Sancho, señal que informamos

      Eliminar
  26. Les sorprende que nadie haga nada? Que ningun diputado o senador? Digo, aun tenemos un Vicepresidente PROCESADO y en vias de JUICIO ORAL en funciones.

    ResponderEliminar
  27. Gente..mas alla de hacerse lss preguntas sobre ma dualidad de estos cursos, al menos pregunten a alguien tecnico antes de preguntar mas alla de smaldone. Pensar que genexus pueda serivir para espiar es que ni leyeron la pagina web del producto. Genexus es super pesado y esta pensado para hacer aplicaciones administrativas de forma rapida. Un porgrama que espia debe ser rapido para que no alertar al afectado.
    Repito. La pregunta sera la pregunta. Pero lo tecnico no es menor. Estos cursos, con ese poco tiempo, y esos productos , son para otra cosa. Eso deberia sveriguarse. Saludos

    ResponderEliminar
    Respuestas
    1. Es verdad, tecnicamente el programa de estudios y la carga horaria son ridiculos.

      Eliminar
    2. Gracias por tu opinión. Desde la salida de la nota, la opinión se dividió entre los que creen que sí se puede usar para espiar y los que no lo creen. Tal como le dijimos, el contexto político vale la pregunta sobre el uso que se le va a dar.

      Eliminar
  28. AQUI ESTAN LOS DOCENTES...http://www.emagister.com.ar/ethical-hacker-security-training-cursos-2566413.htm

    ResponderEliminar
    Respuestas
    1. No se explicita el nombre de los docentes, aunque por tratarse de personal militar debería caber la posibilidad que sea algo mas específico.

      Eliminar
  29. hola! soy ingeniera graduada hace mas de 12 años, por cuestiones personales y de desempleo me dedico a HACKEAR CUENTAS de facebook, twitter, myspace, instagram, hotmail. gmail, entre otras.
    mi trabajo es serio y transparente , doy pruebas claras del proceso para que el cliente este seguro de que su identidad no sera revelada. por favor contactame unicamente por este medio danifrancoingsistemas@gmail.com

    ResponderEliminar
    Respuestas
    1. Te agradecemos, pero no es la clase de servicio que usemos en nuestro trabajo. Gracias de todas maneras y ojalá encuentre pronto trabajo.

      Eliminar