miércoles, diciembre 12, 2012

El caso Santiago Cervera y el correo anónimo de la red TOR

Ayer en la radio me tocó comentar el caso del diputado Santiago Cervera, cuya historia está ya en todos los medios de comunicación nacionales. Para los que sean de fuera el resumen ejecutivo es que un político que había dado mucha caña en el pasado a los dirigentes de la Caja de Navarra recibió un correo anónimo en el que le iban a dar un sobre con información comprometedora de la caja. Este correo era anónimo y, aunque el supuestamente contestó que era inaceptable el método de comunicación, fue al encuentro.

Como era un encuentro anónimo, se le ocurrió la idea de recoger el sobre a lo Wikileaks o J.J. Benitez donde se lo habían supuestamente dejado y lo hizo ocultándose la cara con una gorra y una bufanda, pero... sorpresa, le detuvo la Guardia Civil y el sobre tenía 50.000 € en metálico. Fiesta.

Por otro lado, desde la CAN se dice haber recibido otro correo, en este caso desde una cuenta de Gmail, en el que se solicita dinero como chantaje, algo que denunciaron a los cuerpos de seguridad del estado para que, el día que se entregaba el dinero del chantaje, la persona que lo recogiera fuera detenido... y mira tú por donde, que se detuvo al politico citado anteriormente.

La historia tiene tintes de novela negra, pero lo que más llama la atención en este asunto son los correos electrónicos cruzados, ya que el supuestamente - que debe ser confirmado por los registros de correo de Gmail - viene de un servidor de correo electrónico de la red TOR (torservers.net), tal y como se puede ver en la imagen siguiente.

Figura 1: Los correos electrónicos con la entrega de información.

Por otro lado, el otro mensaje - el de la petición de chantaje - viene desde una cuenta de Gmail, que también deberá ser confirmado por los peritajes judiciales que se hagan... y he aquí las bases de la historia, y lo que llama la atención de todo esto.

Mientras que en los casos recientes del caso de la agenda de teléfonos de Pipi - que al final resulta que perdió un teléfono al que no había puesto ni passcode - o de la Universidad de Deusto, donde al final muchas fotos eran fakes, parece que en este caso sí que ha habido alguien de por medio que sabía algo de seguridad informática y anonimato, ya que la red TOR no es conocida por todo el mundo - aunque sí por mucha gente -.

Si una persona normal piensa en hacerse un correo anónimo, lo que hace es irse en coche a otra ciudad, conectarse con una distribución LiveCD a una red WiFi pública, abrir una cuenta en Gmail, Yahoo! o Hotmail con datos falsos, y enviar desde allí los correos. Usar una cuenta implica el salto de 1) saber qué es la red TOR y 2) haber instalado el software de conexión y probado el sistema de cuentas de correo anónimas.

Abrir un correo anónimo en la red TOR tampoco es que sea muy complicado, basta con instalarse el cliente TOR, abrir el navegador y conectarse a algún buscador como TORCH o The Abyss para localizar algún servicio de correo en TOR.

Figura 2: The Abyss, un buscador en los dominios .onion

Yo me conecté a TORMail, que ofrece acceso anónimo por la red TOR en http://jhiwjjlqpyawmpjx.onion/ y me cree una cuenta de prueba, para lo que no se te solicita nada de información, y en 3 minutos tenía la cuenta abierta.

Figura 3: Abrir una cuenta en TorMail no requiere ningún dato

Para más seguridad para los que no se fían de JavaScript - y hacen bien después de ver cómo es posible hacer una botnet con JavaScript - o los bugs de XSS que aparecen en los clientes como Round Cube, puedes usar una versión sin Javascript de Squirrel Mail.

Figura 4: Conexión desde Round Cube o Squirrel Mail sin Javascript

Este tipo de correos son muy habituales en la "Deep Web", donde se usan para ofrecer servicios tan vario pintos como el asesinato de políticos y mafiosos.

Figura 5: Asesino en oferta en la red TOR

O para la compra de armas a través de Internet.


Figura 6: Compra de armas


Dicho esto, no voy a entrar a valorar quién está contando la historia de verdad, pero esto se puede poner mucho más divertido si se demuestra que la cuenta de Gmail usada para enviar el correo de la supuesta extorsión es de alguien que la usó desde el equipo del político. Y digo esto, porque, si hay que hacer una encerrona en modo profesional, hay que robar la password de Gmail de una cuenta auténtica para enviar el correo desde ella y que cuando los peritos verifiquen el correo de Gmail de la extorsión pase la primera prueba.

Vamos a esperar a ver que dicen los peritajes judiciales, que podemos estar ante el caso más sencillo de pillar a un político corrupto o ante una encerrona con los servicios de un cyber-delincuente que sabe lo que se hace.

Saludos Malignos!

16 comentarios:

jimerino dijo...

No es que sea un experto en la red TOR, pero no me cuadra mucho el anonymous@... No creo que se hayan abierto una cuenta de correo en tormail sino seguramente que hayan usado algún servicio para enviar correo anónimo dentro de la red TOR sin necesidad de registrarse.

Por cierto, no sólo de asesinos y traficantes de armas vive la red TOR. También es usada por activistas políticos o periodistas que quieren mantener anónimas sus fuentes o gente que quiere estudiar vulnerabilidades de alguna Web para avisar sin que le llegue el agradecimiento en forma de demanda. Al cesar lo que es del cesar.

labot dijo...

Hola,

interesante el tema este desde el punto de vista "pericial informático".
Una única duda (o precisión) procedimental: al tratarse de un tema penal que está siendo investigado por la policía los encargados de la investigación no serán peritos judiciales (profesionales independientes nombrados en sede judicial a partir de la lista de peritos). En este caso, la investigación la realizarán desde la "comisaría general de policía científica".
La diferencia no es trivial por varias razones:
1. los policías habrán empezado a actuar ya, mientras que un perito no empezaría a actuar hasta su designación (pasados meses desde los hechos).
2. los policías seguramente dispondrán de más medios y, muchas veces, tendrán más conocimientos técnicos sobre estos temas.
3. los policías pueden tener más éxito a la hora de solicitar registros a los operadores y proveedores de servicios implicados

saludos,

Julio dijo...

Buenas,

creo que para dar de alta un cuenta de gmail o yahoo ahora se necesita un número de móvil para recibir un código y poderse terminar el proceso de alta.

luego ya no es tan facil enviar anónimos desde esos proveedores...

interesante el tema

Maligno dijo...

@jimerino, se ha enviado con una cuenta anónima, así es. Y es cierto, no solo asesinos y traficantes de armas usan esos correos.

Sin embargo, sigue estando bastante claro que el que envió ese correo tenía algún conocimiento de seguridad y hacking }:))

Saludos!

Maligno dijo...

@labot, sí, por eso tendremos que esperar noticias...

Saludos!

Román Ramírez dijo...

Escribo este comentario porque veo algunos post que son de traca con el tema de "como lo hizo a través de la red tor, ya es imposible de rastrear"...

Entiendo que todos tenemos claro que hay más detalles en un correo-e que te pueden permitir llegar a deducir la identidad de una persona.

Y para que quede claro, NO HAY NADA OFICIAL sobre evidencias digitales en España, es decir, la evidencia se convertirá en prueba porque lo diga su Señoría. Y punto.

Así que basta con montar un caso sólido con indicios que convenzan al juez y hecho.

Anónimo dijo...

Uso la red tor, y bueno cacharreando con las ideas de este blog y algún soplo de quien sabe más, se que se puede levantar la alfombra. Pero tiene que estar muy justificado. Es decir, creo que si les interesa lo pueden solucionar.

Lo raro, si la información es correcta, es que la copia del supuesto mensaje de Tor no sale la hora, sólo la fecha. En mis experimentillos si.

Bueno, felicidades por tu blog.

Anónimo dijo...

@Roman

Seria posible saber el ultimo nodo de TOR por el que paso, de ahí a saber quien fue.... hay un trecho, de hecho la "dirección" que aparece es la del nodo no con la que se registro en TOR.


Ernesto dijo...

No pillo la lógica del asunto... Si Cervera fue el que realizó el intento de chantaje, cabe suponer que el correo de TOR es falso y lo mandó como tapadera. Eso implicaría que dispone de suficientes conocimientos para ello. En ese caso, ¿para que enviar el otro correo desde Gmail, en vez de usar TOR también para ello?

Y si realmente Cervera fue engañado, la misma pregunta... ¿por qué enviar un correo desde GMail y otro desde TOR?

Anónimo dijo...

Interesante articulo, pero algo se me escapa de las manos Chema, ¿para que quieres usar Squirrel Mail? ¿Para acceder a TorMail?
ese acceso solo se puede hacer desde la red tor y puedes usar el mismo navegador para que no admita javascript ..

Winston Smith dijo...

Tal vez quieran implicar al denominado como ciberdelincuente, no?. Es otra posibilidad que no se puede descartar.

Xhen dijo...

Yo no se que haría el político o el hacker pero madre como he aprendido en poco tiempo al leer el articulo!!!

Muy interesante..conocia tor, pero la verdad es que aun no he tenido tiempo de meterme a fondo en la red...

Anónimo dijo...

Excelente articulo Chema, pero como podrian analizar ese correo de la web TOR? que herramientas se usarian?, me dio esa duda.......

Saludos!!

Anónimo dijo...

Hola Chema, muy buen artículo, gracias a este caso el público general conocerá por fin la red TOR, espero que no la criminalicen como a los Hackers.

Lo que más me interesa es lo que dice @Román Ramírez sobre el tema de "su señoría" y sobre que no hay nada oficial sobre evidencias digitales. ¿Tan atrasados estamos en este tema?¿Cómo puede un juez que no tendrá npi convertir en evidencia algo que un perito forense tenga una duda razonable? ¿Cómo se podría salir de este atolladero si del tema de Gmail no se saca nada en claro del equipo de Cervera? ¿Se arreglarán las cosas aprovenchando el tirón mediático que está teniendo esto?. Este caso mola.

David dijo...

Hola. Llevo usando TOR hace 1 año más o menos, básicamente por el tema del anonimato. Me resultaba algo más que curioso, pero poco más de utilidad en lo que suelo hacer yo. No usaría esta red para hacer cosas serias, y ni me fiaría del HTTPS.

Con tu post he descubierto el tema de los servicios ocultos y me ha llevado la curiosidad a investigar un poco más sobre los onions, simplemente leer como va ese tema.

Sinceramente, pensé que eso del asesino a sueldo, las armas y la "Deep Web" es para flipaos, y que en realidad pueden ser anuncios falsos o de flipaos.

Lo que hice para comprar el alcance de la realidad ha sido buscar algo que realmente esté muy perseguido y sea muy ilegal, algo jodido, y ver si sale fácil o hay que buscar mucho.

Ahora estoy esupefacto y realmente cabreado. Es algo muy muy asqueroso y difícil. Alguna vez he visto algo mucho más light e informé a la policía. ¿La policía puede hacer algo contra este tipo de contenidos? Quiero decir, ¿si denuncio, servirá para algo? Me gustaría pensar que ya están trabajando en algo para solucionar los problemas.

La verdad es que ahora me creo lo del asesino a sueldo, ahora lo contrataría yo para hacer una limpieza.

Sí que es una pena que un servicio útil para muchas cosas se utilice para algún que otro fin más que inmoral.

Anónimo dijo...

TOR ES EL PARAISO DE LOS ENBAUCADORES, COMO PUEDES CONTRATAR O COMPRAR ALGO DE QUIEN NO SABES NADA. Y SOLO ES UN FANTASMA EN LA RED.

Eleven Paths Blog

Seguridad Apple

Entradas populares