Está a un paso de identificar al creador del "troyano", el virus que infectó el celular del fiscal. El curioso rol de la Metropolitana en el inminente hallazgo.
La fiscal Viviana Fein está a un paso de identificar al creador del virus troyano" que infectó al celular de Alberto Nisman. El dato que encaminó (y simplificó) la búsqueda surgió muy lejos, en la ciudad estadounidense de Las Vegas, Y tuvo como disparador a un artículo de Tiempo.
El archivo identificado con el nombre "estrictamente secreto y confidencial.pdf.jar", hallado en el móvil del difunto fiscal, "reporta a la consola de comando control ubicada" en un dominio identificado en la causa. El dominio, que este diario mantendrá en reserva para no entorpecer la investigación, "pertenece al servicio de DNS dinámicos de NOIP". El DNS (Domain Name Service, sigla en inglés) es un sistema que traduce un código numérico a palabras simples para que un usuario de Internet pueda hallar un sitio de manera fácil. En lugar de colocar una sucesión de cuatro grupos de números separados cada uno con un punto, tipea www.(nombre de la página).com y aparece el sitio que está buscando. Los DNS pueden ser fijos o dinámicos.
El código malicioso estaba alojado en el DNS de la empresa NOIP, que posee DNS dinámicos. Su razón social es "Vitalwerks Internet Solutions LLC", con dirección en "425 Masetro Dr FLT, Reno, NV, 85911, United States". Su dueño, Dan Durrer, ya está en contacto con el área Cibercrimen de la Policía Metropolitana, que está llevando a cabo todavía el peritaje sobre los aparatos informáticos secuestrados en el departamento en el que murió Nisman.
¿Cómo llegó Fein hasta allí? Hace un par de semanas se presentó en la fiscalía un auxiliar de Cibercrimen, quien explicó que había concurrido "a los eventos de seguridad de la información que se llevaron a cabo en Las Vegas", en una "práctica habitual en su programa de actualización técnica". Así, contó que había asistido "a diferentes eventos relacionados con la seguridad de la información, la tecnología y los delitos informáticos denominados Black Hat 2015 y Defcon 23".
Bajo el ropaje de esos congresos de seguridad informática suelen disimularse, en realidad, reuniones cumbres de piratas informáticos. El diario español El País, al anunciar el Black Hat 2015, publicó: "Cinco días en los que se recomienda volver al papel y al lápiz: los hackers hacen de Las Vegas su campo de juego para demostrar habilidades durante la conferencia anual de ciberseguridad en la que todo vale. Un juego de buenos y malos en el que se recomienda apagar la conexión wifi del móvil, no encender el portátil e incluso no usar los cajeros próximos al encuentro." La Defcon 23 directamente es promocionada en Internet como una "Hacking Conference". La Metropolitana envió a uno de sus agentes allí.
En una de esas conferencias, el policía escuchó "que un investigador canadiense-neozelandés de nombre Morgan Marquis-Boire comentó que había realizado una investigación sobre el código malicioso" en cuestión, y que "la investigación fue motivada por una nota periodística" que Tiempo publicó en su página web. Se trata del artículo del 17 de junio pasado, titulado "Fein quiere saber quién llamó a Lagomarsino el día que murió Nisman".
"Con un acceso que dicho investigador tiene a un repositorio internacional de código malicioso llamado 'Virus Total' encontró la muestra del mismo y pudo observar en el contenido que podría tratarse de un ataque dirigido al fiscal con el fin de espiar su información." Esa descripción quedó luego desvirtuada. Cuando el oficial de la Metropolitana entrevistó a Marquis-Boire "en busca de obtener algún detalle adicional", descubrió que lo que sabía no difería, mejoraba ni ampliaba la información que ya tenían los peritos de esa fuerza; los de parte, Gustavo Presman (https://twitter.com/gpresman) (por la querella) y Marcelo Torok (https://twitter.com/marcelotorok) (por la defensa de Diego Lagomarsino), y los de los colosos informáticos ESET y Trendmicro. El virus es inocuo en teléfonos celulares pero peligroso en computadoras. Nisman lo tenía en su celular, pero no en sus notebooks.
La Metropolitana pidió –y obtuvo– autorización de Fein para "cursar comunicación a NOIP para solicitar los datos del usuario asociado al dominio" el virus. También "los datos de conexión (direcciones IP) que este generara, al momento de administrar la herramienta comúnmente denominada 'troyano'". Es decir quién creó el virus.
El pedido ya fue enviado. Sólo falta la respuesta. «
El archivo identificado con el nombre "estrictamente secreto y confidencial.pdf.jar", hallado en el móvil del difunto fiscal, "reporta a la consola de comando control ubicada" en un dominio identificado en la causa. El dominio, que este diario mantendrá en reserva para no entorpecer la investigación, "pertenece al servicio de DNS dinámicos de NOIP". El DNS (Domain Name Service, sigla en inglés) es un sistema que traduce un código numérico a palabras simples para que un usuario de Internet pueda hallar un sitio de manera fácil. En lugar de colocar una sucesión de cuatro grupos de números separados cada uno con un punto, tipea www.(nombre de la página).com y aparece el sitio que está buscando. Los DNS pueden ser fijos o dinámicos.
El código malicioso estaba alojado en el DNS de la empresa NOIP, que posee DNS dinámicos. Su razón social es "Vitalwerks Internet Solutions LLC", con dirección en "425 Masetro Dr FLT, Reno, NV, 85911, United States". Su dueño, Dan Durrer, ya está en contacto con el área Cibercrimen de la Policía Metropolitana, que está llevando a cabo todavía el peritaje sobre los aparatos informáticos secuestrados en el departamento en el que murió Nisman.
¿Cómo llegó Fein hasta allí? Hace un par de semanas se presentó en la fiscalía un auxiliar de Cibercrimen, quien explicó que había concurrido "a los eventos de seguridad de la información que se llevaron a cabo en Las Vegas", en una "práctica habitual en su programa de actualización técnica". Así, contó que había asistido "a diferentes eventos relacionados con la seguridad de la información, la tecnología y los delitos informáticos denominados Black Hat 2015 y Defcon 23".
Bajo el ropaje de esos congresos de seguridad informática suelen disimularse, en realidad, reuniones cumbres de piratas informáticos. El diario español El País, al anunciar el Black Hat 2015, publicó: "Cinco días en los que se recomienda volver al papel y al lápiz: los hackers hacen de Las Vegas su campo de juego para demostrar habilidades durante la conferencia anual de ciberseguridad en la que todo vale. Un juego de buenos y malos en el que se recomienda apagar la conexión wifi del móvil, no encender el portátil e incluso no usar los cajeros próximos al encuentro." La Defcon 23 directamente es promocionada en Internet como una "Hacking Conference". La Metropolitana envió a uno de sus agentes allí.
En una de esas conferencias, el policía escuchó "que un investigador canadiense-neozelandés de nombre Morgan Marquis-Boire comentó que había realizado una investigación sobre el código malicioso" en cuestión, y que "la investigación fue motivada por una nota periodística" que Tiempo publicó en su página web. Se trata del artículo del 17 de junio pasado, titulado "Fein quiere saber quién llamó a Lagomarsino el día que murió Nisman".
"Con un acceso que dicho investigador tiene a un repositorio internacional de código malicioso llamado 'Virus Total' encontró la muestra del mismo y pudo observar en el contenido que podría tratarse de un ataque dirigido al fiscal con el fin de espiar su información." Esa descripción quedó luego desvirtuada. Cuando el oficial de la Metropolitana entrevistó a Marquis-Boire "en busca de obtener algún detalle adicional", descubrió que lo que sabía no difería, mejoraba ni ampliaba la información que ya tenían los peritos de esa fuerza; los de parte, Gustavo Presman (https://twitter.com/gpresman) (por la querella) y Marcelo Torok (https://twitter.com/marcelotorok) (por la defensa de Diego Lagomarsino), y los de los colosos informáticos ESET y Trendmicro. El virus es inocuo en teléfonos celulares pero peligroso en computadoras. Nisman lo tenía en su celular, pero no en sus notebooks.
La Metropolitana pidió –y obtuvo– autorización de Fein para "cursar comunicación a NOIP para solicitar los datos del usuario asociado al dominio" el virus. También "los datos de conexión (direcciones IP) que este generara, al momento de administrar la herramienta comúnmente denominada 'troyano'". Es decir quién creó el virus.
El pedido ya fue enviado. Sólo falta la respuesta. «
Fecha: 15/09/2015
Comentarios