Universidad de Oriente implicada en ciberataques contra Revista Factum

Factum estuvo fuera de línea una semana en octubre de 2019. Una investigación forense determinó que previo al ataque, la IP de la Universidad de Oriente fue identificada como el origen de un escaneo para encontrar puntos débiles en el servidor de la revista.

Foto ilustración FACTUM


A mediados del mes de octubre de 2019, Revista Factum necesitaba publicar un comunicado de prensa de carácter urgente. El empresario Adolfo Salume acababa de difundir un campo pagado en el que afirmaba haber financiado el nacimiento de la revista a través de uno de sus fundadores, por ende, la situación demandaba de una postura del consejo editorial del medio. Sin embargo, había otro problema: Factum estaba, además, lidiando con distintos ciberataques que terminaron por volver inaccesible cualquier intento de conexión con su dirección web. La comunicación con el servidor que desde hacía cinco años había servido como plataforma de publicación para la revista había sido denegada con éxito a través de repetidos ataques DDoS.

Es decir, durante aquellos días no había manera de que los lectores del medio pudieran acceder al contenido de revistafactum.com.

Un ataque DDoS en internet es como llenar una casa de personas hasta abarrotarla, hasta que no quede ningún espacio, y luego intentar pasar entre todos sirviendo bebidas. Seguramente no se podrá dar ni un paso. Eso sucedió con el acceso al sitio web de Revista Factum cuando empezó a interrumpirse en las primeras horas de la tarde del sábado 12 de octubre de 2019. La primera señal de que algo no funcionaba bien era la tardanza en el tiempo de carga del sitio. Lo que siguió fue que nadie más pudo entrar a la revista desde internet y luego ocurrió la aparición del mensaje de acceso denegado. Llegaron mensajes desde las redes sociales a la Sala de Redacción alertando sobre la caída del sitio. A Factum le habían abarrotado los accesos a su sitio web. Le llenaron la casa con toneladas de usuarios de internet y se bloqueó. Un ataque DDoS.

Unos días antes, entre el 7 y el 8 de octubre, en la misma semana del ataque DDoS, el medio recibió un escaneo digital de su sistema, un escaneo de su servidor que no autorizó. Ni siquiera tuvo información previa de que se le iba a hacer una revisión. Los escaneos de vulnerabilidades se utilizan para hallar puntos débiles de un sistema y reforzarlos, cuando los hace la misma persona o institución sobre sus propios sitios. Pero también son usados por externos con intenciones perjudiciales para descubrir flaquezas antes de librar ataques informáticos. El escaneo contra Factum se hizo con la dirección IP (Internet Protocol) que le pertenece a la Universidad de Oriente (Univo), situada en San Miguel. Esto de acuerdo con el análisis forense realizado por Tord Lundström,  director del apartado técnico de la fundación Qurium Media, que ofrece soporte técnico y servicios de ciberseguridad a medios periodísticos procedentes de todo el mundo con el fin de garantizar la libertad de prensa. Lundström es, además, ingeniero forense y arquitecto de sistemas.

Ante el descubrimiento del origen del ataque detectado, el rector de la Univo, Pedro Arieta, y su encargado de informática, José Liberato González, se desligaron de responsabilidad cuando fueron abordados por periodistas de Revista Factum, pero, tras una indagación interna a la que se comprometieron, confirmaron que uno de sus técnicos tenía descargados en su computadora programas de escaneo de sitios web.

La rectoría de la Universidad de Oriente se comprometió a realizar una investigación interna para determinar responsabilidades de los ciberataques a Factum. Luego de esa investigación entregaron a la revista un documento notariado en el que daban constancia de que uno de sus empleados admitía haber descargado software no autorizado por la universidad, programas cuyo objetivo principal es realizar ataques DDoS.

 

El ataque de octubre de 2019 sucedió en el contexto de una campaña de desprestigio contra el medio y sus periodistas. Antes de que la revista quedara fuera de línea por casi una semana, sus periodistas habían sufrido acoso en redes sociales por personas afines al gobierno, además de no permitirles accesos a conferencias de prensa en Casa Presidencial. Las investigaciones de Factum entre junio y septiembre sobre contradicciones y falta de transparencia del presidente salvadoreño, Nayib Bukele, con los fondos públicos y la revelación de que Bukele, cuando fue alcalde de Nuevo Cuscatlán, entre 2012 y 2015, recibió 1.9 millones de dólares de Alba Petróleos de El Salvador, empresa que ahora es investigada por lavado de dinero, provocaron una oleada de ataques para desvalorizar el trabajo periodístico.

En el tercer día fuera de línea del sitio en internet de Factum, el martes 15 de octubre, el empresario Adolfo Salume publicó un campo pagado en el periódico La Prensa Gráfica, en el que aseguraba que entregó dinero al ex codirector de Factum, Héctor Silva Ávalos, durante el primer año de funcionamiento de la revista. La Sala de Redacción emitió un editorial en el que anunció su decisión unánime de separar de inmediato a Silva Ávalos y de iniciar una investigación periodística para verificar lo dicho por Salume en su campo pagado. Hasta la fecha, la investigación continúa en marcha y Silva Ávalos sigue apartado por completo de la dirección editorial y administrativa de la revista. El editorial pudo publicarse en el sitio web hasta tres días después debido a que, gracias al soporte de Qurium, Factum pudo retomar el control de su servidor de forma paulatina y volver a la normalidad.

Salume publicó el comunicado sobre su relación con Silva Ávalos en momentos en que sus restaurantes de la cadena Mister Donuts estaban siendo clausurados por el Ministerio de Trabajo y el Ministerio de Salud del gobierno de Bukele. Luego del campo pagado, los cierres contra los locales del empresario cesaron por parte del gobierno. Para reaccionar de forma inmediata, Factum publicó su editorial en redes sociales porque no tenía en funcionamiento su sitio web tras el ataque DDoS, que se repitió durante los días en que el medio estuvo fuera de acceso.

La revista visitó la Univo para una entrevista con su rector y su encargado de informática, quienes se comprometieron a hacer indagaciones al interior de la universidad para aclarar la situación del escaneo previo al ataque.

El medio recuperó los accesos a su sitio luego del 17 de octubre de 2019, para lo que se contactó con la organización Frontline Defenders y con la fundación Qurium Media, especialista en ciberseguridad y en investigaciones forenses, donde ahora aloja su servidor. Tord Lundström realizó el análisis forense de los ataques y detectó, además, que el origen de los escaneos contra Factum correspondía a una dirección IP de la Univo.

De acuerdo con Qurium, el análisis de tráfico en el servidor de Revista Factum revela que el ataque consistió en una amplificación UDP de varios gigabits compuesta de múltiples vectores de amplificación.

Bloqueo de todos los canales 

DDoS, que son las siglas en inglés para lo que se conoce como Distributed Denial of Service (denegación de servicio distribuido), consiste en usar desde una dirección central cientos de miles de equipos (bots) que solicitan ingreso a un servidor en internet con la finalidad de atascar su acceso. En casi una semana, entre el 12 y el 17 de octubre de 2019, las solicitudes al servidor de Factum se pesaron en gigabytes. Por eso la casa se llenó y los lectores no pudieron ingresar.

El estudio de Qurium descubrió que el proveedor del servicio de hosting –el espacio donde se almacena toda la información y todos los datos de un sitio web–, cuando detectó los ataques DDoS, optó por sacarlo de línea por completo. Y aunque los servicios estuvieron apagados, Qurium pudo registrar nuevos ataques de cientos de miles de bots o zombis los días 16 y 17 de octubre. Qurium estaba monitoreando en vivo y grabando los ataques para después analizarlos.

Los bots o zombis pueden ser cualquier computadora que esté contaminada con malware (aplicaciones malignas), que se adquieren al descargar programas no protegidos. Estas aplicaciones se convierten en una especie de antenas para que desde una computadora central se utilicen las computadoras como bots o zombis, que, sin detectarlo, son manipuladas como solicitantes de acceso al servidor que es objetivo del ataque. Cuando el atacante logra dirigir grandes volúmenes de zombis al servidor, entonces puede llenarlo y atascarlo.

El ataque que sufrió Factum en octubre de 2019 hizo que el servidor se quedara sin posibilidad de responder a una cantidad elevada de solicitudes de ingreso, por lo que los lectores se encontraron con los mensajes de que no podían acceder al sitio. Los ataques DDoS, sin embargo, no son infiltraciones a los sistemas; por ello, todos los contenidos de la revista se mantuvieron intactos.

 

La dirección IP 167.249.23.138 pertenece a la Universidad de Oriente (Univo), ubicada en San Miguel. Foto FACTUM/Gerson Nájera

El escaneo desde la Univo

Qurium también registró que días antes del ataque DDoS, la revista sufrió un escaneo digital para detectar debilidades de su servidor mediante la aplicación Netsparker. Este programa se utiliza para encontrar deficiencias en los sistemas informáticos, cuando se trata de manera preventiva. Pero también puede destinarse, así como otras aplicaciones de escaneo, para descubrir vacíos por los que luego se logran vulnerar los sitios en internet.

El escaneo que recibió Revista Factum, sin consentimiento ni conocimiento previo de este medio de comunicación, ocurrió entre los días 7 y 8 de octubre, antes del ataque, y provino de la dirección IP 167.249.23.138, que pertenece a la Univo, en San Miguel. Pero al rector Pedro Arieta, abogado de profesión, no se le hizo familiar la serie de números de la dirección IP de su universidad cuando los periodistas de Factum se la mostraron en su oficina el 18 de octubre de 2019. Para auxiliarse, llamó al encargado de informática de la Univo, José Liberato González. 

A González se le explicó que la revista contaba con los logs que muestran cómo Netsparker hizo el escaneo de la página web de Revista Factum desde las 5:50:27 a.m. del 8 de octubre de 2019, según los datos que resultaron de la investigación forense de Qurium. González, sorprendido, comentó que a esa hora la universidad está cerrada y que la primera clase empieza dos horas después. Por lo que era posible que alguien haya dejado una computadora o un dispositivo móvil con acceso a la IP de la Univo, dentro de la institución, en actividad durante ese tiempo.

Arieta y González se comprometieron a hacer una indagación. El 24 de octubre siguiente, los periodistas de la revista recibieron un informe de una auditoría: revisión de logs de sistema operativo, instalación y desinstalación de software, revisión de 425 equipos, historial de descargas, historial de navegación web, procesos ejecutándose en equipos, máquinas virtuales, revisión de logs en equipos de red, historial de configuraciones y entrevistas. 

Pese al listado, la universidad no mostró los resultados de cada acción. Sin embargo, sí dio un nombre: Raúl Antonio Torres, responsable de descargar Netsparker en uno de los equipos de la Univo.  

El ingeniero Torres 

El día en que Raúl Antonio Torres reconfirmó que él descargó sin autorización de la universidad el programa Netsparker en una de las computadoras de la Univo, su lugar de trabajo, estaba sentado al lado del rector Pedro Arieta. Tenía el rostro serio y hablaba con parsimonia. Parecía que calculaba cada frase que decía para responder preguntas mientras Arieta y los periodistas lo escuchaban.

Era viernes 29 de noviembre de 2019 y Torres ya tenía un mes y una semana de haber quedado suspendido por la investigación interna que hizo la universidad para verificar si una de sus computadoras había sido manipulada para escanear el servidor web de Factum, y si fue él quien, tras descargar el Netsparker, también lo utilizó.

Antes de suspender a Torres, el rector Arieta, junto al notario Mauricio Ramón Suárez, miembro de la junta directiva de la Univo, hicieron firmar a su técnico en informática una confesión personal y una liberación de responsabilidad para la universidad.

“Yo, Raúl Antonio Torres Hernández, (…) admito haber instalado y descargado software no autorizado en la computadora designada para mis actividades diarias, las cuales se detallan a continuación: Sistema Operativo Kali Linux, Netsparker, SqlMap, WpscanN-Master, DDoS-Attack, BadKarma, Joomscan, WordPresscan, Burpsuite, que la razón del uso fue motivos meramente técnicos y a lo mejor por curiosidad de aficionado”, se lee en la confesión firmada y notariada.

El sistema operativo Kali Linux es equivalente al Windows de Microsoft o al MacOS de Apple, con la excepción de que es de código abierto y de uso libre y gratuito. Linux es comúnmente asociado con las preferencias de los hackers. La mayoría de los otros programas que mencionó Torres en su confesión son para el escaneo de vulnerabilidades y examen de respuesta de solicitudes de ingreso a sitios web.

Raúl Antonio Torres, ingeniero en sistemas de la Univo, previo a la entrevista con Revista Factum, el 29 de noviembre de 2019, para dar explicaciones del escaneo  digital que él dice no haber ejecutado al portal de la revista. Foto FACTUM/Salvador Meléndez.

Torres es un ingeniero en sistemas y redes computacionales, pedagogo y en la Univo su labor ha sido la de técnico y encargado de la seguridad informática de la universidad. Se dice fiel lector de “El Blog”, una página de propaganda a favor del gobierno de Nayib Bukele. En la entrevista que concedió el 29 de noviembre de 2019, aseguró que no sabía de Revista Factum hasta el incidente y que de otros periódicos como El Faro solo le gustan las caricaturas. 

Pese a su currículo, en su confesión mencionó que descargó esos programas por “curiosidad de aficionado”. En seguridad cibernética, “siempre uno es un aficionado”, se defendió cuando los periodistas lo cuestionaron. Pero Torres tiene un antecedente que, al igual que su currículo, lo aleja de ser un aficionado en informática: en 2018, el ingeniero en sistemas vulneró una clave de seguridad de Central American Software Services (CASS), la misma empresa con la que la Univo tiene un convenio de cooperación, según el director de esa institución, Roland Despinoy. El director de CASS aseguró a Factum el 24 de enero de 2020 que Torres fue descubierto luego de que él detectó que una de sus claves había sido “crackeada”, es decir, adivinada por un programa para ese fin.

Despinoy dijo que llamó la atención a Torres, pero tomó la decisión de no notificar la falta a la universidad. “Nuestra política a nivel de la empresa siempre ha sido a favor de las segundas oportunidades”, dijo.

Torres negó en primer lugar que él utilizó el programa Netsparker para escanear vulnerabilidades al servidor de Factum entre el 7 y el 8 de octubre de 2019 y en segundo lugar negó el señalamiento de Despinoy sobre el incidente del password un año antes. 

De hecho, Arieta acuerpó a Torres el 29 de noviembre de 2019. El rector de la Univo dijo que los últimos resultados determinaron que Torres, aunque descargó el programa, no fue quien usó el Netsparker en contra de la revista. “No queremos ocultar nada ni tener una complicidad. Ahora que tuvimos el informe completo, realmente él (Torres) llegó al lindero, a la frontera, pero no cruzó la frontera. Mi temor era que tocaran Factum y no queremos como universidad estar untados en un tema en el que no tenemos nada que ver”, dijo Arieta.

Pero no hubo manera de certificar la versión del rector, ya que no estuvo dispuesto a proporcionar los últimos resultados de su indagación interna, más que sus palabras. Factum le pidió a Arieta acceso al disco duro de la terminal en donde Torres descargó el Netsparker para poder hacer un estudio propio, pero la respuesta fue negativa.

Torres, consultado el pasado 24 de febrero, aseguró que ya no está laborando para la Univo, aunque en noviembre anterior recibió el respaldo de Arieta. “Después de lo que pasó, la universidad no me reincorporó”, dijo el ingeniero en sistemas.

El camuflaje de los IP

Los IP son direcciones de interfaces desde donde se accede a internet. Al rastrear IP se pueden localizar los lugares donde están ubicadas esas interfaces, pero no se puede identificar a la persona o a las varias que están accediendo a internet desde esa dirección.

El director de CASS explicó que si bien es posible a través de un estudio forense descubrir las direcciones IP desde donde se producen ataques cibernéticos, aseguró que la mayor dificultad en estas investigaciones es identificar a la persona atacante. De hecho, Despinoy aseguró que en El Salvador, dentro de lo que él conoce, no hay instituciones que tengan controles estrictos de sus redes de internet, por lo que no pueden individualizar a sus usuarios.

Cualquiera puede usar su teléfono o su computadora y conectarlos a internet con una clave de wifi. Si el atacante se conecta al wifi de una universidad, de un almacén o de un local de gobierno, un estudio forense va a mostrar la IP de esos lugares como el origen del ataque, pero no la identidad de la persona.

La única forma de acceder a los dispositivos y, posiblemente, a los atacantes, es mantener un control estricto del wifi de los locales, de modo que la red pueda identificar y guardar un registro de fecha, de hora y de qué aplicaciones se activan en cada dispositivo mientras están conectados a esa red. Esos controles, prometió el rector Arieta, los va a poner en su universidad, para no repetir los incidentes con la revista.

Instalaciones de la Universidad de Oriente (Univo) en la ciudad de San Miguel, desde donde se detectó que se realizaron escaneos que derivaron en ataques DDoS al servidor de Revista Factum. Foto FACTUM/Salvador Meléndez.

Delitos cibernéticos

Roland Despinoy explicó que se necesita sensibilización y concientización acerca del uso de programas informáticos que, mal utilizados, pueden servir para acciones que ya son tomadas como delitos, como los escaneos sin autorización, los “crackeos” de claves de correos electrónicos o de cuentas de redes sociales, ataques DDoS o incluso actividades de hackers con objetivos específicos de dañar, como el robo de bancos de datos o nuevos delitos como el “ransomware”, en los que se pide un “rescate” (dinero que no se puede trazar, como los bitcoins) a cambio de liberar servidores vulnerados.

La vulneración de sitios en internet es una práctica común en materia de informática, pero también es un delito. Escanear sin autorización y después infiltrar un servidor o provocar un bloqueo de un sitio web es equivalente a vigilar a una familia en su casa antes de asaltarla, dice Despinoy, quien tiene desde hace catorce años su empresa en El Salvador. A Revista Factum no solo la escanearon; también la atacaron en repetidas ocasiones, aunque debido a la falta de acceso al disco duro de las computadoras de la Univo, no es posible identificar a las personas responsables de haber ejecutado los ciberataques.

CASS es una empresa de informática que provee aplicaciones creadas por jóvenes salvadoreños y en cuyo historial de clientes se cuentan organizaciones como la Cruz Roja Internacional. La empresa liderada por Despinoy está descentralizada y tiene Centros de Desarrollo de Software (CDS) diseminados en El Salvador y algunos en convenio con universidades. En San Miguel, CASS tiene un convenio de este tipo con la Univo.

De hecho, Despinoy reconoció que en el IP de la Univo esté incluido el nombre de su empresa debido al convenio. El experto, en la entrevista del 24 de enero pasado, explicó que un bloqueo de un medio de comunicación mediante los ataques DDoS viola, por ejemplo, los derechos a la libertad de expresión, de prensa y de información. Se llaman delitos cibernéticos, dijo. 

En El Salvador hay una Ley contra los Delitos Cibernéticos, pero no se aplica en realidad. No existen unidades fiscales que investiguen este tipo de nueva delincuencia para una sociedad que todavía se puede calificar como primitiva en la informática.

Y aunque existe una ley aprobada desde 2016 que castiga ilícitos que se hacen desde el internet, ni la Fiscalía ni la Policía se han reforzado en estas áreas, señaló el diputado Rodrigo Ávila, exdirector de la Policía Nacional Civil y miembro de la comisión de seguridad de la Asamblea Legislativa. “Tristemente, no se ha querido ver el alcance y la gravedad de los delitos que se pueden cometer desde internet. No solo es que se pueda manipular con engaños y que se atropelle la dignidad de las personas en las redes sociales, hablo de que se puede hacer colapsar a un país, se pueden hacer desfalcos, robos, sabotajes a servicios básicos con el uso de tecnologías informáticas”, dijo el diputado.

Ávila cree que las autoridades no han aplicado toda la ley por la polémica aislada de las redes sociales y la libertad de expresión versus los delitos contra el honor. El diputado señaló que los delitos cometidos en redes sociales son apenas un pequeño punto en toda la ley, que abarca muchas más conductas delictivas con el mal uso de internet.  

Revista Factum no es el único medio de comunicación que ha recibido ataques informáticos. El periódico El Faro, en los primeros días de junio de 2019, registró intentos de ingreso de malware en su servidor. “El día 14 de junio, en un lapso de pocos minutos, se recibieron mensajes con código aparentemente malicioso que podría ser considerado, en materia de ciberseguridad, como inyección maliciosa de código”, dijo Daniel Valencia Caravantes, editor del periódico.

La Prensa Gráfica es otro medio de comunicación que en 2015 fue “imitado” por una página que aparentaba ser el sitio oficial del periódico y en el que colocaron entrevistas falsas con su propietario, José Roberto Dutriz, con declaraciones también falsas que iban en detrimento de su imagen y la del periódico. 

Este último caso llegó a los tribunales de justicia de El Salvador. Entre los acusados estuvo la actual secretaria de Comunicaciones de la Presidencia, Sofía Medina, que en aquel entonces trabajaba en las comunicaciones de la Alcaldía de San Salvador en la administración de Nayib Bukele. Medina ahora coordina la selección de candidatos a comisionados del Instituto de Acceso a la Información Pública del sector periodistas. De hecho, la reciente elección de los nuevos comisionados del instituto por ese sector, que Medina coordinó, resultó en un fracaso y desembocó en la renuncia de las personas que habían sido nombradas. 

El caso de La Prensa Gráfica no fue un ataque de hackers, pero sí evidenció los usos que puede tener el internet y que pueden derivar en delitos. 

Factum migró su servidor desde octubre de 2019 y los nuevos informes forenses siguen revelando, en menor grado, intentos por vulnerar su sitio en internet. El consejo editorial de la revista evalúa mientras tanto, junto a su equipo jurídico, si acudirá a las instancias penales tras el incidente.


  • * Con reportes de Rodrigo Baires Quezada

     

¿TE HA GUSTADO EL ARTÍCULO?

Suscríbete al boletín y recibe cada semana los contenidos en tu email.


Deja un comentario

Your email address will not be published.

2 Responses to “Universidad de Oriente implicada en ciberataques contra Revista Factum”

  • Este Pedro Arieta fue abogado defensor del Chato Vargas y su concuño en el recordado asesinato de García Prieto, mucho cuidadito con él!

  • La legalidad sobre la seguridad informática está decenas de años fuera de lugar, muy atrasado todo. Igual de atrasadas están las instituciones encargadas de impartir justicia en esa materia. Pero lo más atrasado es el conocimiento sobre esa seguridad tanto a nivel de universidades, escuelas técnicas de formación pre-universitaria o técnica. Urge establecer curriculum adecuado y actualizado en derecho, ingenierías sobre todo informática, comunicaciones o sistemas, administración de empresas y licenciaturas asociadas. Hay que llevar ese tipo de conocimiento junto con la tecnología a personas que puedan dedicarse a tiempo completo a aprender, experimentar, probar y desarrollar nuevas formas de conocimiento, por eso sugiero establecer escuelas especializadas en centros penales. Allí hay condiciones fisicas suficientes para tener futuro.