Las pruebas presentadas por el Grupo de seguridad Lógica de la Brigada de Investigación Tecnológica (BIT) de la Policía Nacional, ampliamente reflejadas en el sumario al que ha tenido acceso el Navegante, permiten reconstruir los pasos que siguieron los investigadores para 'cazar' a los presuntos responsables de una gran variedad de ataques de denegación de servicio distribuido (DDoS, que consisten en lanzar masivamente peticiones desde muchos ordenadores para provocar el bloqueo por saturación de un sitio web).
Éstos iban dirigidos contra sitios como los de la SGAE y el Ministerio de Cultura, el de la Junta Electoral Central y "planes" para tumbar las páginas web de determinados partidos políticos.
La Policía define a Anonymous como "una pluralidad de personas las cuáles actúan de forma anónima y de forma coordinada -a través de redes de servidores IRC, un tradicional servicio de chat-, generalmente hacia un objetivo acordado", sobre todo mediante DDoS -que consiste en "saturar una página web determinada dejándola inaccesible mediante un programa informático llamado LOIC".
Estos ataques fueron coordinados en determinados canales de chat, y la localización de uno de los servidores que daba servicio a estas salas fue clave a la hora de identificar a los supuestos responsables.
La Policía argumenta que debido a unas serie de ataques DDoS que se habían producido (o se iban a producir) en España, "y de otros que a nivel mundial se estaban produciendo bajo el nombre colectivo de Anonymous, como el efectuado a la multinacional Sony", algunos agentes decidieron interactuar en los chats para localizar a los 'responsables' en España.
Identificaciones
Los extensos informes policiales incluidos en el sumario dan una muestra de cómo los agentes logran identificar a los detenidos. Así, algunos funcionarios se introducen en el canal de IRC #Hispania con el 'nick' 'Sprocket', y se ganan la confianza del administrador, 'WickEr'. Éste comenta ciertas discrepancias con determinados usuarios del canal, "los cuales han montado un servidor casero, 'anonhispano.dyndns.org', desde el cual se organizan ataques DDoS".
'WickEr' da la pista sobre el primer identificado, R. T. S., alias 'Itzela', 'Alca' y 'Devnuller', identificado a través de la IP del citado sitio web. La Policía logra asimismo identificarle como posible colaborador de ataques a través de varias vías, por comentarios de su cuenta de Twitter (@Tuerinator, ya eliminada) sobre un ataque a la Junta Electoral Central o por los datos de registro del dominio 'anonymous-spain.org' (la cuenta de correo coincide con su 'nick' 'Devnuller'), en donde se anunciaba un ataque contra el BBVA.
Además, la Policía afirma que uno de los tres servidores en los que descansa irc.anonworld.net ("imprescindible y necesario para que la red Anonymous en España e Hispanoamérica puidiera reunirse, concretar y fijar sus objetivos"), llamado tokorotenn.anonworld.net, se encontró en su domicilio cuando fue registrado. Fue detenido en Almería, pese a su origen asturiano, ya que es marino mercante.
El sumario incluye un extenso dossier de escuchas telefónicas realizadas a R. T. S. mediante el uso del polémico Sistema Integrado de Interceptación Telefónica (SITEL).
Por su parte, los policías infiltrados en las redes Anonworld y Anonnet logran, concretamente en esta última, "establecer contacto y ganarse la confianza" de un usuario que actúa bajo los 'nicks' de 'Mugen', 'Seraf' y 'Sipias'. Se trata de J.M.Z.F., otro de los detenidos, en este caso en Areyns de Mar (Barcelona). Junto con 'WickEr', es considerado "uno de los principales administradores de los canales IRC de Anonymous", concretamente de #Hive.
Para identificarle, los agentes consiguen que éste les dé su número de móvil y quedan con él en la Puerta del Sol de Madrid el 26 de mayo de este año, coincidiendo con la su visita a la capital y a la acampada de indignados, tal y como resalta el sumario. Con disimulo, el agente encubierto invita a J.M.Z.F. "a tomar algo fuera de la plaza", momento en el cual logra avisar a otros agentes, que le piden una identificación rutinaria. Ya saben quién es.
El 31 de mayo vuelven a ponerse en contacto con él, quedan en una plaza del barrio de Les Corts en Barcelona y es detenido. De las declaraciones de este detenido, que según el sumario afirma que "actualmente la ejecución de los ataques DDoS en España se realizan en los servidores llamados Anonnet y Anonworld", la Policía deduce que "Anonymous necesita tener una infraestructura y una organización".
El tercer detenido
El tercer detenido en esta operación, alias 'WickEr', 'Nemesis' e 'Irae', contactado en primer lugar por los agentes en el chat, fue localizado a partir de un número de teléfono móvil.
A través de algunas de las conversaciones y comentarios mantenidas en chats de 'Anonnet' (del que se cree que era su creador y administrador), la Policía estima que "impulsaba la obtención de datos reales de carácter personal de policías de toda España", obtenido por ejemplo de sitios como www.foropolicia.es, "con el objetivo de publicarlos en foros pro-etarras".
Asimismo, de la documentacion aportada -esencialmente 'logs' de conversaciones en chats- deducen que quería "reventar correos del PP y PSOE", "listar diputados del PP", atacar medios como Libertad digital y "anotaciones como objetivos sede SGAE, e-mail y cuentas de la actual ministra de Cultura, Ángeles González Sinde". También consideran que el detenido "creaba 'malware' indetectable por los antivirus" y tener acceso a una 'botnet', así como "contactos con otros miembros de Anonymous a nivel internacional".
Todas estas acusaciones han sido negadas por el acusado, que alega que se tratan de charlas coloquiales descontextualizadas.
Ataques en España de Anonymous, según la Policía:
- Operación contra la Ley Sinde. Realizada el 21 de diciembre de 2010, tras la votación en el Congreso de la llamada Ley Sinde que "daría pleno poder para cerrar sitios web de enlaces de contenidos sin necesidad de contar con autorización de un juez" (sic), se realiza un ataque DDoS contra los sitios web del PSOE; la SGAE, el congreso y el Ministerio de Cultura. Este último presentó hasta dos denuncias, asegura el informe policial.
- Ataque contra el sitio web del Senado. Anonymous trata de 'tumbar' el 16 de enero de 2011 el sitio web de la Cámara Alta y la del Partido popular, "como protesta a la 'renovada' Ley Sinde.
- Operación Goya. El 13 de febrero de 2011, el sitio web de la Academia de Cine quedó colapsado a las 16.00 horas. Durante la celebración de la gala de los Premios Goya se dieron "una serie de protestas y abucheos por parte de varios centenares de Anonymous que acudieron usando la tradicional careta de V de Vendetta", afirma literalmente el informe.
- Operación hipoteca. Se trata de ataques a los sitios web de las principales entidades financieras españolas, como BBVA, Santander, La Caixa y bankia, denmido a la Ley Hipotecaria y a los "fuertes abusos financieros". La Policía asegura que este ataque fue coordinado desde www.anonymous-spain.es, cuya titularidad atribuye a uno de los detenidos, R. T. S., alias 'Devnuller'.
- Operación contra el Ministerio de Trabajo. Se iba a efectuar el 9 de mayo de 2011, aunque quedó frustrada por un ataque interno dentro de la red de servidores Anonops por parte de un operador cuyo 'nick es 'Ryan' (Este atacante lleggó a hacerse con el control de toda la red IRC de Anonops, formada por 12 servidores, e hizo públicas las contraseñas y las direcciones IP de sus usuarios, afirma el informe). En ese momento, los miembros se dispersaron en dos redes: Anonworld.net y Anonnet.org, "las cuales comparten los mismos objetivos".
- Operación V de votaciones. La Policía afirma que "se convoca para el 20 de mayo, dos días antes de las elecciones municipales en España, contra las páginas web de PP, PSOE y CiU.
- Operación Posterdeface. Paralela a la anterior, "consiste en imprimir la máscara de 'V de Vendetta' y ponerlas en las caras de los carteles electorales de los candidatos". Esta operación también se atribuye a R. T. S., al aparecer como contacto un correo con su alias.
- Operación Spanish Revolution Paralela a la manifestación del 15-M bajo el lema 'Democracia Real Ya', "se centró en un ataque a la página de la Junta Electoral Central desde el día 18 de mayo. Existieron otros ataques entoces contra los sitios web del Congreso y del sindicato UGT, según la Policía. También durante los días 27 al 29 de mayo se llevaron ataques DDoS contra los sitios de los Mossos D'Esquadra y CiU, con motivo del desalojo de la acampada en la Plaza de Catalunya de Barcelona.
- Ataque a Telefónica y Movistar El colectivo de ciberactivistas logró tumbar, el domingo 26 de junio, la página de Movistar en España como había anunciado previamente en un vídeo colgado en el portal YouTube. El grupo anunció por la mañana que además atacaría el web telefonica.com, aunque finalmente se registró ningún incidente.
FUENTE :http://www.elmundo.es/elmundo/2011/06/24/navegante/1308937468.html