Gorra Leaks, a la papelera de reciclaje: se archivó la causa por el mayor ataque informático de la historia argentina
En agosto de 2019, un hacker publicó 700 GB de archivos muy sensibles de la Policía Federal. Este 30 de noviembre, en el día de la seguridad informática, quedó firme lo dispuesto por el juez Luis Rodríguez y las 15 personas investigadas por la Justicia fueron sobreseídas. Podríamos ubicar el comienzo de esta historia en […]
Por El Resaltador | 11/30/2021
🕒 9 minutos de lectura
En agosto de 2019, un hacker publicó 700 GB de archivos muy sensibles de la Policía Federal. Este 30 de noviembre, en el día de la seguridad informática, quedó firme lo dispuesto por el juez Luis Rodríguez y las 15 personas investigadas por la Justicia fueron sobreseídas.
Podríamos ubicar el comienzo de esta historia en varios puntos en el tiempo: en mayo de 2017, cuando alguien hackeó el email de Inteligencia contra el Crimen Organizado de la Policía Federal. O en julio de 2019, cuando alguien penetró en los servidores de la Superintendencia de Bienestar de la Policía Federal. O, quizás, en agosto de 2019, cuando esa misma persona publicó 700 GB de archivos muy sensibles de esa fuerza en un repositorio de Git Hub, en la Deep Web, en un canal de Telegram y en una cuenta de Twitter en agosto de 2019.
El contenido preciso de la filtración, y el daño que puede haber hecho, no están claros y probablemente nunca lo estén. Es que este martes 30 quedó firme el sobreseimiento de los 15 sospechosos dictado por el juez Luis Rodríguez en la investigación que llevaba adelante su juzgado de Comodoro Py. La causa, en tanto, fue archivada luego de denuncias de graves irregularidades por uno de los allí sindicados como parte del ataque informático: el desarrollador de software riocuartense Javier Smaldone.
El inicio de “LaGorraLeaks”, la mayor filtración informática de la historia argentina, es más bien vidrioso. Lo que está claro es que este martes 30 terminó. Y que todo quedó en la nada.
Los servers son un colador
El usuario "LaGorraLeaks" apareció por primera vez en enero de 2017, cuando hackearon la cuenta personal de la entonces ministra de Seguridad Patricia Bullrich. La causa cayó en manos del juez federal Sebastián Ramos y terminó con los procesamientos de Emanuel Vélez Cheratto y Mirco Milski. En ese momento, el informático Javier Smaldone comenzó a teorizar en Twitter cómo podría haber sucedido el ataque a la ministra, convencido de que se trataba solo de la punta del iceberg.
El 4 de mayo del 2017, Smaldone recibió un mail de parte de alguien que se hacía llamar [S]. El mensaje tenía un enlace para descargar un archivo zip. Lo abrió y halló 70 megas de PDFs, audios, documentos de Excel y Word. Cliqueó sobre un par de archivos al azar: informes de seguimiento de la policía, con nombres de narcotraficantes investigados y de policías infiltrados en las bandas. Smaldone se da vuelta de golpe. Creyó que le mandaron esos documentos para tener una excusa para allanarlo y que la policía estaba subiendo por la escalera.
La paranoia no era injustificada. Hacía unos años, habían allanado y perseguido judicialmente a dos de sus compañeros de combate contra la instalación en la Ciudad de Buenos Aires y en el país del sistema de voto electrónico. A uno de ellos, incluso, lo habían acusado falsamente de producción de pornografía infantil.
Grabó todo en un CD y se presentó a declarar ante el juez Sebastián Ramos, que llevaba la causa. Smaldone dijo que le preocupaban las vulnerabilidades de los datos sensibles. El juez, entonces, ordenó al jefe de la Federal Néstor Roncaglia, que adoptara “las máximas medidas de seguridad posibles para resguardar la información sensible”. No sucedió: años después, en julio de 2019, [S] explotó una vulnerabilidad que tenía la versión de PHP (un lenguaje de scripting para la programación web) del email de la Superintendencia de Bienestar de Federal: la versión 5.6.3 que corría era de noviembre de 2014. Así consta en un apercibimiento de Agencia de Acceso a la Información Pública a la Policía Federal fechado el 5 de febrero de 2020. En él también se informa que, en varias dependencias, la Federal no usaba cuentas oficiales, sino Gmail o Hotmail. [S] también aprovechó este descuido para obtener los datos.
La data de la gorra
El 30 de julio del 2019, la Policía Federal denunció el acceso ilegítimo a 3 cuentas de email. El caso llegó al juez Luis Rodríguez y al fiscal Jorge Di Lello luego de pasar por al menos otros tres juzgados. Quizás por eso, durante los primeros catorce días no se tomó ninguna medida. El 12 de agosto se hicieron públicos los documentos: LaGorraLeaks 2.0, 700 GB de archivos secretos de la Federal, incluyendo actas de allanamiento, declaraciones de testigos, expedientes, información de movimientos de drogas, escuchas telefónicas y fichas de policías infiltrados. Disponibles para ser descargados por GitHub, Telegram, Twitter y en la Deep Web.
Se trataba de información hipersensible: ¿cuánto daño podría causar en manos de bandas delictivas?
“Se armó un quilombo. Salieron como locos y enseguida formaron un comité de crisis”, afirma Smaldone. “Otra medida de pata es haber dejado que la Policía Federal, quienes habían hecho la denuncia, liderara la investigación”. En 48 horas, decidieron que los culpables eran quienes aparecían mencionados en la causa de la filtración de 2017: Milski, Vélez Cheratto y también Smaldone, entre otros.
El 8 de octubre, en la casa de su pareja en Capital Federal, Smaldone se fue a dormir a las 5 de la mañana. Le pesaba un inminente deadline y pensaba cerrar los ojos tres horas. Pero lo despertó un codazo de su novia antes de eso: “Están tocando el timbre”. Era la Policía Federal. Luego de seis horas y varias rondas de café, le comunicaron que debían acompañar a los oficiales a la sede de la Policía Federal. Lo subieron al móvil, lo esposaron y lo mantuvieron con custodia durante otras seis horas. En el operativo, la Policía se llevó 23 dispositivos. 19 de ellos, de la novia de Smaldone.
Ese allanamiento no fue el único: por esos días, hubo otros 14 en Córdoba, Capital Federal, Santa Fe y La Plata. Todos los allanados fueron acusados de “violación de correspondencia” en el caso LaGorraLeaks.
La investigación
De la investigación derivó que el 28 de julio de 2019, existió un acceso ilegítimo a algunos mails de la Superintendencia de Bienestar de la fuerza. El servidor por el cual se habría entrado fue contratado vía Mercado Pago, y esta parece ser la pista más fuerte del caso: desde allí se rastreó a la familia de los compañeros de celda de Emanuel Vélez Cheratto, alias "Líbero", que estaba preso por un fraude con tarjetas de crédito en el Penal de Las Flores. Vélez Cheratto había sido detenido, también, como uno de los responsables del hackeo a Bullrich. Si bien la evidencia parecería indicar que podría tener algo que ver con el hecho, habría sido muy difícil que él hubiera sido el culpable: cuando sucedió el hackeo, él estaba preso.
Sin embargo, el resto de la investigación parece haber sido mucho más tosca: se escribió y se tradujo un exhorto a la Justicia estadounidense para que Twitter brinde información sobre las cuentas asociadas, pero nunca se envió. Tampoco se requirió información a los servidores desde donde se realizaron los accesos ilegítimos. Y, para colmo, no se peritaron los cientos de equipos secuestrados en los quince allanamientos. Asimismo, hay cuatro sospechosos –incluyendo a Smaldone, Vélez Cheratto y Milski– a quienes se vinculó a la causa por estar “relacionados” con el hackeo a Bullrich, que los investigadores consideran “un caso similar”.
Pero la parte de la investigación que pesó sobre Smaldone fue la más grave y violatoria de derechos. Tanto es así que en el informe sobre la causa de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), a cargo del fiscal Horacio Azzolin, emitido el 22 de marzo de 2021, hay un apartado sobre esta arista. Entre los motivos por los que señalaron a Smaldone en la causa, estuvieron su conocimiento en lenguajes informáticos, el hecho de que usuarios de redes sociales lo señalaran como culpable, su “hostigamiento” a la Policía vía Twitter, sus tweets sobre este y otros ataques informáticos que tuvieron lugar en el país y finalmente, su cuestionamiento al sistema de voto electrónico.
Escribió el fiscal Azzolin: “Desde nuestro punto de vista es un conjunto de apreciaciones sin rigor científico ni anclaje concreto en elementos objetivos del caso que pretenden vincular a un perfil determinado de persona con un hecho”. Y agrega: “En definitiva, las apreciaciones parecen ser propias de otras épocas, colisionan con el derecho a la libertad de expresión y no deberían ser tomadas en cuenta como premisas para construir un caso”.
A Smaldone no solo lo ciberpatrullaron, sino que le pincharon el teléfono, lo siguieron, instalaron cámaras de seguridad frente a la casa de sus hijos en Río Cuarto y también frente a la casa de una persona algo parecida a él en Capital Federal. Además, en Río Cuarto, encontraron el domicilio donde Smaldone había vivido 15 años atrás, averiguó el número de una “expareja” de él y también el de Smaldone, pero le erró por dos dígitos. Finalmente, pidieron investigar su WhatsApp y su tarjeta SUBE, sin resultados. Smaldone también fue amenazado de muerte.
Era mucho el interés en inculparlo: el fiscal Azzolin también denunció en su dictamen que, por su actuación en la causa por el hackeo a la ministra de Seguridad Sabina Frederic en 2019, recibió en su casilla de correo amenazas de muerte e imágenes de pornografía infantil “que pretendían ser adjudicadas a Smaldone”.
Finalmente, el 17 de noviembre de este año, más de dos años después de abierto el expediente y sin ninguna respuesta sobre quién podría ser [S], el fiscal federal Ramiro González solicitó el sobreseimiento de los 15 sospechosos y el archivo de la causa. El juez Rodríguez convalidó el pedido el 24, que quedó firme el 30. De este modo, se cerró una investigación con algunas líneas razonables y con mucho trabajo a medio hacer pero, sobre todo, plagada de irregularidades.
Smaldone: “Tengo sentimientos encontrados. Todos los que me conocen me dicen: ‘festejemos’, pero a mí me cuesta festejar. Porque por un lado no me van a molestar más con esto pero, por otro, a la filtración de la policía está garantizado que nunca la van a investigar”. Sus conocidos no son los únicos que le dijeron que se alegrara. El 23 de noviembre, el mismo [S] le escribió un e-mail a Smaldone: “Felicidades por el sobreseimiento :)”.
Epílogo
El 26 de septiembre de este año, un usuario de un foro de hackers aseguró poseer los datos de 1.193.316 agentes dependientes de la Prefectura Naval Argentina, el Ejército Argentino, la Fuerza Aérea Argentina, la Armada de la República Argentina y la Gendarmería Nacional Argentina. El 10 de octubre, un hacker afirmaba haber penetrado en el RENAPER y poseer los DNI de todos los argentinos: publicó unos 60.000 de prueba. En una entrevista, [S] se atribuyó estos dos últimos ataques. Allí mismo, adelantó que estaba “vendiendo accesos, tengo 3 redes del gobierno que las puse en venta hace unas semanas”. Muy probablemente se refería a la supuesta información a la venta en el blog de Everest, un grupo de criminales que comercializa por 30 mil dólares el acceso a varias dependencias del Estado argentino. Resta ver si la Justicia finalmente podrá dar con el dichoso [S], o si estos casos también terminarán en la papelera de reciclaje.
