Chuzadas: las exigencias del Ejército en contrato de software de inteligencia

El pasado sábado se destapó lo que podría ser uno de los escándalos más sonados del Ejército en los últimos años: desde batallones de inteligencia se estarían realizando interceptaciones ilegales a políticos, magistrados y periodistas. Entre los posibles afectados estarían el senador del Partido de la U Roy Barreras, el exgobernador de Nariño Camilo Romero y la magistrada de la Corte Suprema Cristina Lombana.

Para estas chuzadas, las Fuerzas Militares habrían destinado recursos de inteligencia militar. Entre las herramientas usadas están unos equipos conocidos como Stingray, que interceptan las señales de telefonía celular a corta distancia, y un sistema informático llamado Hombre Invisible. Este fue comprado en septiembre del año pasado a una empresa española llamada Mollitiam Industries, por un valor de cerca de $3.000 millones. 

(Puede ver: Las herramientas con las que miembros del Ejército habrían chuzado ilegalmente)

El Espectador tuvo acceso al contrato de compra de este sistema de inteligencia informática y pudo observar varios de los detalles de la millonaria compra. Uno de los principales elementos a resaltar es que esta compra, al ser una herramienta de inteligencia, recibió un carácter de ultrasecreto, por lo que ninguno de sus datos fue puesto en el sistema de compras públicas de la Nación y su adquisición fue directa, sin que una licitación o subasta pública fuera realizada para tal fin.

En segundo lugar, el contrato está bajo una reserva de 30 años y fue considerado de mucha sensibilidad, pues podría llegar a afectar las relaciones diplomáticas con gobiernos extranjeros, “debido que con el uso de esta herramienta se logra realizar búsqueda y recolección de información y fijación de objetivos de interés nacional, necesarios para garantizar defensa de la soberanía, la independencia, la integridad del territorio nacional y del orden constitucional”.

(Además: "Chuzadas" ilegales habrían propiciado la salida del general Nicacio Martínez de la comandancia del Ejército)

Asimismo, en la documentación quedó especificado que Mollitiam “es la sociedad idónea” para llevar a cabo el contrato, ya que fue esta empresa la que diseñó e implementó el software del Hombre Invisible. Además, frente a la experiencia de la empresa, en la contratación quedó expreso que esta corporación de ciberseguridad española ha celebrado contratos similares con entidades de inteligencia internacional como lo es la Inteligencia de la Marina de Perú, otras unidades de las Fuerzas Militares colombianas y varias empresas públicas y privadas.

Sobre el software en sí, el objetivo del contrato señala que se busca “adquirir herramientas especializadas de Ciberinteligencia con la capacidad de automatizar tareas de explotación y acciones predefinidas sobre activos de información adversarios, con muy bajas probabilidades de que el usuario afectado identifique que está siendo vulnerado”.

También: La denuncia que originó el allanamiento al Batallón de Ciberinteligencia del Ejército

Luego, en una descripción más detallada, se establece que Hombre Invisible es una herramienta que tiene presencia tanto en la nube como física, es decir con un acceso desde un solo punto y también remoto. Además, de esta condición, entra las exigencias hechas por las Fuerzas Militares está que el software permita operar en grupos para que se pueda introducir las herramientas técnicas que permitan la obtención de información, sin que el blanco sepa que es materia de este ataque.

También, entre las exigencias está que el malware pueda afectar tanto a sistemas Windows como Mac y que este tenga el camuflaje y persistencia necesaria para seguir alojado en el equipo víctima sin importar las acciones de defensa. Además, debe ser indetectable para el 90% de los sistemas de seguridad, y debe garantizar que los antivirus no van a tener una reacción hostil ante su acción.

Aunque el contrato tiene un costo total de poco menos de $3.000 millones, este no solo hace referencia al software Hombre Invisible, cuyo costo en de $755 millones. El resto del dinero del contrato se destinó a la infraestructura en la nube para la ejecución del software, el computador de mando del aplicativo, servidores de criptografía (para codificar y decodificar información), estaciones de trabajo donde se ejecutaría el software y otras herramientas necesarias para el correcto funcionamiento del este complejo programa de inteligencia.

(Le puede interesar: Vulnerabilidad en la Corte Suprema, la sensación que dejan las "chuzadas")

Además de los recursos tecnológicos necesarios para la ejecución de este programa, que exigen herramientas del alto desempeño, en el contrato hay un apartado en el que se le exigió a la empresa proveedora del software que brinde una capacitación teórico-práctica de mínimo 32 horas a 6 miembros del Ejército. Esta, además de introducirlos en la herramienta comprada, tenía como fin entrenarlos en “password cracking” -que en español significa descifrado de contraseña-.

El “password cracking” hace referencia a la consecución y recuperación de contraseñas para acceder a sistemas y datos sensibles. En el caso de las exigencias de entrenamiento hechas por el Ejército, se pidió que se entrene a seis personas, no se especifican si son uniformados o no, en administración de diccionarios, conversión de diccionarios, parametrización de diccionarios y ataques por diccionario.

Esto, que suena como a una clase de español, realmente hace referencia a una forma de cracking en la que se crea una especie de listado de contraseñas posibles (diccionario) y se prueba una a la vez hasta que se da con la contraseña correcta. Según sitios de hackeo ético, estos ataques normalmente se hacen por la modalidad de Fuerza Bruta, que implica usar “diccionarios” bastante robustos en los que cada minuto realizan entre 50 y 1000 intentos por minutos hasta averiguar la contraseña a crackear -a descifrar-.

(Le puede interesar: Chuzadas: CTI revisará oficinas, casas y carros de magistrados de la Corte Suprema)

Precisamente, el contrato también pide que se les entrene en ataques de Fuerza Bruta, tanto personalizada como no dirigida. La Fuerza Bruta, según guías de hacking ético y seguridad en red, hace referencia a descifrar contraseñas probando todas las combinaciones posibles (no dirigida) o a través de unos términos específicos o diccionario (personalizada). Asimismo, en el pliego de contratación se pide que las seis personas escogidas sean entrenadas en ataque híbridos positivos y negativos, es decir, que usen las dos formas de ataque de Fuerza Bruta para acceder a una contraseña.

En este documento también quedó consignado otras áreas de cracking en las que las seis personas tenían que ser entrenadas. Entre ellas está la distancia de Levenstein, permutaciones, ataque por reglas, entre otras. Todos estos conceptos hacen referencia a formas de obtención de contraseñas para así acceder a sistemas o a información sensible.

El pasado sábado se destapó lo que podría ser uno de los escándalos más sonados del Ejército en los últimos años: desde batallones de inteligencia se estarían realizando interceptaciones ilegales a políticos, magistrados y periodistas. Entre los posibles afectados estarían el senador del Partido de la U Roy Barreras, el exgobernador de Nariño Camilo Romero y la magistrada de la Corte Suprema Cristina Lombana.

Para estas chuzadas, las Fuerzas Militares habrían destinado recursos de inteligencia militar. Entre las herramientas usadas están unos equipos conocidos como Stingray, que interceptan las señales de telefonía celular a corta distancia, y un sistema informático llamado Hombre Invisible. Este fue comprado en septiembre del año pasado a una empresa española llamada Mollitiam Industries, por un valor de cerca de $3.000 millones. 

(Puede ver: Las herramientas con las que miembros del Ejército habrían chuzado ilegalmente)

El Espectador tuvo acceso al contrato de compra de este sistema de inteligencia informática y pudo observar varios de los detalles de la millonaria compra. Uno de los principales elementos a resaltar es que esta compra, al ser una herramienta de inteligencia, recibió un carácter de ultrasecreto, por lo que ninguno de sus datos fue puesto en el sistema de compras públicas de la Nación y su adquisición fue directa, sin que una licitación o subasta pública fuera realizada para tal fin.

En segundo lugar, el contrato está bajo una reserva de 30 años y fue considerado de mucha sensibilidad, pues podría llegar a afectar las relaciones diplomáticas con gobiernos extranjeros, “debido que con el uso de esta herramienta se logra realizar búsqueda y recolección de información y fijación de objetivos de interés nacional, necesarios para garantizar defensa de la soberanía, la independencia, la integridad del territorio nacional y del orden constitucional”.

(Además: "Chuzadas" ilegales habrían propiciado la salida del general Nicacio Martínez de la comandancia del Ejército)

Asimismo, en la documentación quedó especificado que Mollitiam “es la sociedad idónea” para llevar a cabo el contrato, ya que fue esta empresa la que diseñó e implementó el software del Hombre Invisible. Además, frente a la experiencia de la empresa, en la contratación quedó expreso que esta corporación de ciberseguridad española ha celebrado contratos similares con entidades de inteligencia internacional como lo es la Inteligencia de la Marina de Perú, otras unidades de las Fuerzas Militares colombianas y varias empresas públicas y privadas.

Sobre el software en sí, el objetivo del contrato señala que se busca “adquirir herramientas especializadas de Ciberinteligencia con la capacidad de automatizar tareas de explotación y acciones predefinidas sobre activos de información adversarios, con muy bajas probabilidades de que el usuario afectado identifique que está siendo vulnerado”.

También: La denuncia que originó el allanamiento al Batallón de Ciberinteligencia del Ejército

Luego, en una descripción más detallada, se establece que Hombre Invisible es una herramienta que tiene presencia tanto en la nube como física, es decir con un acceso desde un solo punto y también remoto. Además, de esta condición, entra las exigencias hechas por las Fuerzas Militares está que el software permita operar en grupos para que se pueda introducir las herramientas técnicas que permitan la obtención de información, sin que el blanco sepa que es materia de este ataque.

También, entre las exigencias está que el malware pueda afectar tanto a sistemas Windows como Mac y que este tenga el camuflaje y persistencia necesaria para seguir alojado en el equipo víctima sin importar las acciones de defensa. Además, debe ser indetectable para el 90% de los sistemas de seguridad, y debe garantizar que los antivirus no van a tener una reacción hostil ante su acción.

Aunque el contrato tiene un costo total de poco menos de $3.000 millones, este no solo hace referencia al software Hombre Invisible, cuyo costo en de $755 millones. El resto del dinero del contrato se destinó a la infraestructura en la nube para la ejecución del software, el computador de mando del aplicativo, servidores de criptografía (para codificar y decodificar información), estaciones de trabajo donde se ejecutaría el software y otras herramientas necesarias para el correcto funcionamiento del este complejo programa de inteligencia.

(Le puede interesar: Vulnerabilidad en la Corte Suprema, la sensación que dejan las "chuzadas")

Además de los recursos tecnológicos necesarios para la ejecución de este programa, que exigen herramientas del alto desempeño, en el contrato hay un apartado en el que se le exigió a la empresa proveedora del software que brinde una capacitación teórico-práctica de mínimo 32 horas a 6 miembros del Ejército. Esta, además de introducirlos en la herramienta comprada, tenía como fin entrenarlos en “password cracking” -que en español significa descifrado de contraseña-.

El “password cracking” hace referencia a la consecución y recuperación de contraseñas para acceder a sistemas y datos sensibles. En el caso de las exigencias de entrenamiento hechas por el Ejército, se pidió que se entrene a seis personas, no se especifican si son uniformados o no, en administración de diccionarios, conversión de diccionarios, parametrización de diccionarios y ataques por diccionario.

Esto, que suena como a una clase de español, realmente hace referencia a una forma de cracking en la que se crea una especie de listado de contraseñas posibles (diccionario) y se prueba una a la vez hasta que se da con la contraseña correcta. Según sitios de hackeo ético, estos ataques normalmente se hacen por la modalidad de Fuerza Bruta, que implica usar “diccionarios” bastante robustos en los que cada minuto realizan entre 50 y 1000 intentos por minutos hasta averiguar la contraseña a crackear -a descifrar-.

(Le puede interesar: Chuzadas: CTI revisará oficinas, casas y carros de magistrados de la Corte Suprema)

Precisamente, el contrato también pide que se les entrene en ataques de Fuerza Bruta, tanto personalizada como no dirigida. La Fuerza Bruta, según guías de hacking ético y seguridad en red, hace referencia a descifrar contraseñas probando todas las combinaciones posibles (no dirigida) o a través de unos términos específicos o diccionario (personalizada). Asimismo, en el pliego de contratación se pide que las seis personas escogidas sean entrenadas en ataque híbridos positivos y negativos, es decir, que usen las dos formas de ataque de Fuerza Bruta para acceder a una contraseña.

En este documento también quedó consignado otras áreas de cracking en las que las seis personas tenían que ser entrenadas. Entre ellas está la distancia de Levenstein, permutaciones, ataque por reglas, entre otras. Todos estos conceptos hacen referencia a formas de obtención de contraseñas para así acceder a sistemas o a información sensible.