Transcription performed by LeahTranscribesJACK: Cuando yo era adolescente y vivía en casa con mi papá, siempre sentía que invadía mi privacidad. Hacía cosas como abrir y leer el correo que me llegaba a mí, o entraba a mi cuarto cuando yo no estaba. Él decía que estaba recogiendo basura o juntando vasos sucios, pero yo siempre sospeché que en realidad revisaba mis cosas por alguna razón. [MÚSICA] A veces también entraba en mi habitación cuando yo estaba allí, y eso no me gustaba. ¿Y si me veía haciendo algo en la computadora que no quería que él viese? Así que se me ocurrió un sistema de advertencia para saber cuándo venía. A veces ponía hojas de periódico justo afuera de mi puerta. Las acomodaba de tal forma que él tenía que pisarlas para llegar a la puerta, y el crujido del papel me avisaba que alguien se estaba acercando. Esto funcionó por un tiempo, sobre todo porque lo oía quejarse: “Ah, hay periódico por todo el suelo; ¿qué está pasando?” Y así, yo sabía que estaba por entrar. Pero un día, decidió ser más astuto. Quería entrar a mi cuarto sin hacer ruido con el periódico, así que se acercó muy despacio y en silencio, y levantó con mucho cuidado el papel sin que hiciera ni un solo crujido. Con el sistema de advertencia desactivado, abrió la puerta y entró directamente. Yo estaba sentado en la cama leyendo uno de mis libros de la escuela. Me sorprendió que no activara mi alarma y le pregunté: “Papá, ¿cómo entraste sin que el periódico hiciera ruido?”. Y él levantó el periódico para mostrarme que lo había recogido y dijo: “Siempre voy dos pasos delante de ti, hijo. Me alegra ver que estás haciendo tareas”, y se fue. Pero lo que él no sabía es que yo iba cuatro pasos delante. Había instalado un sensor de proximidad en la puerta, del que él no sabía nada, y si alguien se acercaba, una pequeña luz parpadeaba en mi habitación para avisarme que alguien venía. Cuando se acercó a levantar el periódico, vi la luz parpadear. Estaba jugando en la computadora, así que apagué el monitor, agarré un libro de la escuela y me tiré en la cama fingiendo que leía. A veces hay que hacer este tipo de cosas para atrapar a alguien con las manos en la masa. Ir dos pasos adelante no es suficiente. A veces tienes que ir cuatro pasos adelante. INTRO: [MÚSICA DE INTRODUCCIÓN] Estas son historias reales del lado oscuro de internet. Esto es Darknet Diaries en español. [FIN DE LA MÚSICA DE INTRODUCCIÓN] JACK: [MÚSICA] Aviso de contenido explícito: este episodio tiene muchas palabrotas. Si prefieres no escuchar lenguaje ofensivo, ya estás advertido. Bien, entonces no quieres que utilice tu nombre real.
OS: No JACK: Sin problema, ¿inventaremos algo? Frank o Tim o… OS: No sé. Voy a un fucking generador de nombres aleatorios. A ver qué sale. ¿Te parece? JACK: Sí, sí. OS: Dejemos que el puto universo nos diga cómo debería llamarme. Vamos a llamarme Owl Stalker. JACK: Un momento… ¿Qué clase de generador de nombres estás usando…? ¿Es como uno de esos generadores de nombres para videojuegos? OS: Básicamente, sí, man. JACK: Owl-Stalker? ¿Acechabúhos? ¿Acechabúhos? OS: ¡Sí, por qué diablos no! JACK: Vale, intenté, intenté llamarlo por ese nombre, pero no puedo llamarlo Owl Stalker todo el episodio, así que lo voy a abreviar su nombre a O-S y lo voy a llamar OS para hacerlo más corto.
OS: Sí, para que tengan perspectiva de mis inicios, solía andar en la escena de los warez como administrador de wares y como rooter, y también como cracker de cifrado para juegos en disco. Así que, algunos de los grupos más grandes que existen, no solo los estaba alojando, sino que también producía zero-days para la escena de los warez.
JACK: Ah, la vieja escena de los warez en los 90. Warez (“güares”)es una abreviatura de softwares, pero específicamente se refiere al software pirata. [MÚSICA] Los grupos de warez compraban software, ya fuera un videojuego o una app, y luego lo crackeaban para que no necesitaras una licencia o un número de serie para que funcionara, y luego lo distribuían para que cualquiera pudiese descargarlo y usarlo gratis. En la escena de los warez de los 90, podías descargar casi cualquier juego o aplicación sin pagar por ello. Hoy en día eso ha desaparecido un poco, ya que las apps y los juegos requieren conexiones a internet para que funcionen, pero esto era en los 90, cuando el internet no era tan rápido, y además antes de que los torrents fueran realmente populares. Él se había montando unos servidores en IRC, Internet Relay Chat, con el propósito de convertirse en el lugar al que ir para descargar software pirata. Pero no siempre distribuyó software pirata. Cuando consiguió su primera computadora Gateway, no estaba seguro de qué hacer con ella, y fue un amigo quien le dijo que mirara IRC, donde podía conocer a otras personas, y entonces, aprendió a meterse en salas de chat del mundo, para ver qué encontraba.
OS: Mi buen modem de baudios decidió conectarse. Los primeros diez minutos que estuve ahí, me hackearon. Tuve que reconstruir mi computadora desde cero, y entonces todo era con fokin’ disquetes para construir el sistema, y juré que eso no me volvería a pasar. Estaba molesto.
JACK: Y así comenzó su viaje por el lado oscuro. Ya le interesaba muchísimo lo que podían hacer las computadoras, así que cuando la suya fue infectada con un virus, inmediatamente le pareció fascinante y le llevó a querer saber más. Comenzó a preguntar cómo podría suceder algo así, lo que eventualmente lo llevó a estos grupos de warez que estaban haciendo cosas ilegales.
OS: Así que, fui y aprendí, practiqué y me enseñé a mí mismo, en realidad, a programar. Luego, ya más maduro vi que algunos de los grupos más grandes los estaban empezando a desmantelar, como nuestros grupos peer to peer en esa comunidad de warez que estaban empezando a ser perseguidos de verdad. Varios amigos míos que, claro, había conocido a lo largo de los años en esos grupos, fueron a la cárcel-cárcel. Y era como: “man, no quiero que eso me pase a mí.”
JACK: Así que decidió ir en una dirección totalmente diferente en la vida. Y, después de estar encorvado durante años sobre su PC, aislado en su habitación, se enderezó y salió al exterior, y empezó a entrenar. SARGENTO: Uno, dos, tres, cuatro, United States Marine Corps.
SOLDADOS: Uno, dos, tres, cuatro, United States Marine Corps.
OS: Bueno, elegí el Cuerpo de Marines específicamente porque mientras me informaba, ya todas las otras ramas ya habían creado unidades de ciberseguridad y ya estaban en el proceso de – estaban un paso adelante de Los Marines, así que dije, ¿sabes qué? Quiero entrar a los Marines específicamente por esto. Entré a una estación de reclutamiento y dije, “Oigan, ¿están haciendo cosas con computadoras, para proteger computadoras?” Ni siquiera era ciberseguridad, ¿sabes? Ni siquiera tenía un nombre en ese punto. Me dijeron: “Mira, realmente no tenemos muchas opciones. Vamos a ver cómo te va en la prueba.” Saqué una buena nota en la prueba de acceso y me garantizaron el rol que tuve en el ejército, que fue en ciberseguridad. SERGENTO: If I die in the combat zone… SOLDADOS: If I die in the combat zone… SERGENTO: Hike me up and ship me home. SOLDADOS: Hike me up and ship me home.
JACK: El bootcamp de los Marines dura trece semanas, y es brutal. Cuando terminas, estás en la mejor forma física de tu vida. No hay computadoras en este entrenamiento físico-militar. En su lugar, te entrenan para ser un asesino. Aprendes a pelear, aprendes a usar armas, aprendes a superar el miedo y cualquier obstáculo que se cruce en tu camino. Digo todo esto porque me recuerda a una escena muy específica de la película Full Metal Jacket. HARTMAN: Toejam! TOEJAM: ¡Señor, sí, señor! HARTMAN: 0300; infantería
JACK: La película sigue a los marines desde el campo de entrenamiento hasta la guerra de Vietnam. HARTMAN: Irás a buscar minas. Cowboy! COWBOY: ¡Señor, sí, señor!
JACK: Cuando terminan el entrenamiento es cuando les asignan su puesto. HARTMAN: Taylor! TAYLOR: ¡Señor, sí, señor! HARTMAN: 0300; infantería.
JACK: Pero uno de ellos llama la atención, Joker. HARTMAN: Joker! JOKER: ¡Señor, sí, señor! HARTMAN: 4212; periodismo militar. ¿Qué clase de mamada es esta, burlón? ¿Crees que eres Mickey Spillane? ¿Crees que es algún pinche puto escritor? JOKER: Señor, escribía en la escuela para el periódico, señor. HARTMAN: Santo dios el cielo, tú no eres un escritor, eres un asesino. JOKER: Un asesino, ¡sí, señor!
OS: [MÚSICA] No pensé en el hecho de que el Cuerpo de Marines es un ejército de élite y que están entrenados para matar, y nada más que matar, ¿no? Eso es literalmente lo que son. Yo lo veía más como un medio para un fin, para conseguir experiencia, ¿no? de la mano del gobierno, y realmente recibir formación en las capacitaciones del gobierno. Ya sabes, así es como lo veía, hasta que llegué al campo de entrenamiento y pensé, “oh, mierda, ¿qué hice?” Me despojaron de todo lo que era y me reconstruyeron en lo que soy hoy, hasta cierto punto, ¿verdad? Pero, ¿cómo volví y regresé al lado de la informática? Quiero decir, ese era mi objetivo final. Me puse una meta antes de entrar y llegué a un acuerdo con los Marines de que me proporcionarían eso. Bueno, claro, ahora, más tarde, me di cuenta de lo afortunado que fui, porque no hay garantías. Cuando firmas un contrato con el gobierno, lo que sea, militar o cualquier otro servicio gubernamental, no te garantizan una mierda, y especialmente con los militares, ¿sabes? Pero, ¿cómo transicioné de vuelta de ese tipo de… mentalidad de combate? Quiero decir, siempre la mantuve, ¿verdad? Porque nos entrenaron para pelear primero, pero lo que fue genial es que fuimos los primeros en definir cómo pelear en el plano digital.
JACK: En ese momento ¿hacías principalmente trabajo ofensivo o defensivo, forense, respuesta a incidentes?
OS: Hice ambos. Realmente dependía de dónde estaba y qué hacía. Cuando generalmente no estaba desplegado en el terreno, entonces era defensivo. Incluso estando desplegado, hacíamos cosas de defensa forense, como, trabajando nuestra inteligencia de señales o profesionales de inteligencia en general. Recibíamos eso y lo analizábamos. Nos traían dispositivos físicos, como dije, cosas tipo chip off, donde literalmente desoldábamos chips de una placa y los analizábamos a ese nivel, pero también hacíamos cosas de tipo ofensivo.
JACK: ¿Cuánto tiempo estuviste ahí?
OS: Estuve cinco años en servicio activo, lo suficiente para darme cuenta de que tomé una decisión realmente jodidamente increíble y terrible al mismo tiempo.
JACK: ¿Por qué fue increíble y terrible?
OS: Bueno, fue increíble porque pude hacer cosas brutales y aprender un montón de cosas increíbles, y fue una mierda porque –quiero decir, de nuevo, solo tienes que hablar con un Marine; lo odias desde dentro y lo amas desde afuera, ¿sabes? La vida de un Marine no es – no es una vida fácil, man. Ni un poquito.
JACK: Pero esta experiencia realmente sí mejoró su comprensión de las computadoras, y específicamente de ciberseguridad. Así que, con toda esta experiencia y conocimiento, consiguió un trabajo en una empresa de consultoría.
OS: Estaban haciendo forensics y otras cosas de ciberseguridad, ¿no? Esto fue a principios de los 2010, por dar perspectiva del marco temporal. Un individuo me eligió específicamente a mí para que me uniera a esta firma de consultoría.
JACK: Lo mandaron a empezar por cosas de informática forense, analizando computadoras para intentar comprender mejor sobre el malware, buscando pistas en una red o sistema que mostrase señales de intrusión, o cosas así. Pero también le tuvieron haciendo algunas cosas de ataque, donde fue asignado a intentar entrar en una computadora o web o red para testear su seguridad. Hizo eso un tiempo, pero luego le llegó una nueva tarea. (MÚSICA) El gobierno de Puerto Rico contrató a su consultora para hacer un trabajo.
PRESENTADOR: A 18 grados sobre el ecuador, en ese punto ideal donde el Atlántico abraza el Caribe, se encuentra la isla de Puerto Rico.
OS: En Puerto Rico, vendieron el proyecto y dijeron, “Ok, genial. Necesitamos personal. Oye, ¿tienes disponibilidad? Perfecto. Bienvenido al proyecto.” Así es como funcionan las cosas. En las empresas de consultoría, te asignan a proyectos, ¿verdad? Me lo vendieron como que, inicialmente, íbamos a ir allá a hacer mejoras, tipo, mejoras operacionales en IT.
JACK: Lo que le dijeron fue que para este proyecto, él y su equipo irían, auditarían la red, la evaluarían y verían si había áreas para mejorar y hacer la red más segura. Ok, entonces empacas tus maletas, te vas. ¿Cuánto tiempo pensaste que estarías allí?
OS: Esa es una pregunta muy graciosa. Realmente pensé que solo estaría allí quizás dos o tres semanas, como máximo. Íbamos a ir para allá, evaluar sus capacidades técnicas y ver, ok, genial, tienes este mainframe de IBM de los 70. Tal vez quieras actualizarlo, ¿verdad?
JACK: Poco sabía él que se quedaría mucho más tiempo que unas pocas semanas. Llega a Puerto Rico, y todo va según lo planeado por un tiempo. Ve lo que hay y sí, hay áreas en las que pueden mejorar la red para hacerla más fácil de mantener, para que haga el trabajo y que sea más segura. Así que está redactando todos sus hallazgos y dando sugerencias sobre cómo mejorar.
OS: Pero de repente, estábamos en una reunión con el gobernador de Puerto Rico, y él dice, “Me encanta el trabajo que han estado haciendo y lo que han hecho por nosotros. Tengo un problema.” Y dice: “Estamos perdiendo millones y millones de dólares al mes a través de la lotería de Puerto Rico, y no sabemos cómo.” [MÚSICA] JACK: Ahora, para empezar, el gobernador de Puerto Rico es la persona con la mayor autoridad ejecutiva allí, así que el hecho de que se hayan podido reunir con él fue bastante interesante. Y este es un desafío único, ¿no? Ayudar a descubrir cómo están perdiendo millones de dólares a través de su lotería estatal. A OS le intrigó este problema, pero no estaba seguro de por dónde empezar. Tuvo que aprender y familiarizarse con cómo funcionaba el sistema de lotería. Esta lotería tenía sorteos semanales. Estos sorteos se hacían en físico, en vivo por televisión, no de forma electrónica como algunas loterías. Metían un montón de bolas entraban en un tambor que daba vueltas, y luego se extraía una bola de una en una, mostrándola a la cámara, y así se anunciaban los números ganadores. La gente compraba boletos de lotería en lugares especiales que los vendían, y si tus números coincidían con los números sacados en televisión, ganabas dinero. Tampoco tenían que coincidir todos los números: con solo una coincidencia parcial, como tres de cinco, también ganabas. Esta lotería de Puerto Rico es importante. Ha estado en funcionamiento desde 1934 y está dirigida por el Departamento del Tesoro. Por supuesto, una lotería está diseñada para generar ingresos al gobierno, ya que la cantidad de premios nunca es mayor que la cantidad de dinero generado a través de la venta de boletos. Pero en este caso, los pagos eran mucho mayores que las ventas de boletos; mucho más. Estaban perdiendo millones de dólares en la lotería. OS: Nos reunimos como equipo y dijimos, “Oye,vamos a darle una vuelta”. Pensemos en todas las posibles razones detrás de esto. Tal vez los sistemas no se están comunicando o actualizando lo suficientemente rápido porque la conectividad de la red entre el Edificio A y el Edificio B es horrible. Tal vez haya un error administrativo en sus sistemas, como que, sabes – cuando comenzamos a hacer nuestro análisis de IT, todavía estaban usando Windows 95 en algunos sistemas a principios de la década de 2010, ¿verdad? Es como, hm, ok, tal vez los procesos no son tan finos. Tal vez no han hecho una conciliación de sus libros en mucho tiempo, así que, bueno, traigamos a nuestros contables forenses y hagamos que miren sus números.”
JACK: Entonces, su contable forense revisó el libro de contabilidad; cuánto se pagó y cuánto se compró. Y sí, así era: millones de dólares más se pagaron de lo que se compraron, lo que significa que la lotería estaba perdiendo dinero, lo que no debería pasar. La lotería está configurada para generar dinero, no para perderlo. Estos contables no entendían qué estaba pasando. Confirmaron que había pérdidas significativas en el sistema, pero según sus análisis, parecía que todo el dinero se estaba yendo solo a los ganadores legítimos, [MÚSICA] y no había nada sospechoso en absoluto. Y el misterio se hacía más profundo.
OS: Entonces, comenzamos desde el principio del proceso. O sea, vamos a ver físicamente dónde se almacenan las bolas de lotería y cómo se almacenan.
JACK: Como fue el gobernador quien pedía ayuda, tenían todos los permisos y autorizaciones necesarios para hacer una visita a donde se realizaba la lotería. Pudo acercarse y examinar las bolas de lotería de cerca.
OS: Sí, pude tocar y examinar las bolas, man. Fue bastante divertido.
JACK: Las bolas parecían estar bien. Ninguna tenía un peso o tamaño raro que las hiciera más o menos propensas a ser extraídas. No parecía que ese fuera el problema. Entonces, lo siguiente que hizo fue preguntar…
OS: ¿Quién tiene acceso a esto? Tipo, ¿tienen cámaras? ¿Tienen sistemas de acceso con tarjetas?
JACK: Le entregaron los nombres de todas las personas que tenían acceso al equipo técnico de la lotería. Parecía que había unos controles correctamente establecidos. Solo unas pocas personas tenían acceso a las bolas y a la sala de sorteos.
OS: Entonces comenzamos con el proceso de, ok, el día del sorteo – o el día anterior, ¿cuál es el proceso? ¿Se hace una reconciliación? Sí, todas estas bolas se mueven, estos estantes de bolas de lotería se trasladan y se colocan. Se cuentan nuevamente, se asignan, se les da el visto bueno. Hay un gran proceso de rendición de cuentas antes del día. Y el mismo día del sorteo de la lotería, lo hacen otra vez, primero por la mañana, luego un chequeo a la hora del almuerzo y luego justo antes del sorteo en sí, hacen otra verificación y luego las sacan al público.
JACK: La vista pública es realmente la televisión. Cada semana, el sorteo se hace en vivo, transmitido por su canal de televisión local. Este evento es bastante importante en Puerto Rico; muchos se sientan a ver con sus boletos en la mano para ver si sus números salen.
OS: De hecho, tuvimos la oportunidad de acompañar a las bolas. JACK: Quiere decir que estuvo al tanto y vigiló las bolas de lotería en cada paso del proceso, desde que las examinó hasta que fueron sorteadas en vivo por la televisión. Así, nada pudo ser cambiado o alterado mientras él estaba observando. OS: [MÚSICA] Así que caminamos con las bolas hasta… con el empleado de verdad. Había dos empleados que estaban asignados solamente para gestionar las bolas de lotería. Eso era todo. Día tras día, entraban, hacían la revisión, conciliaban hojas y básicamente las contaban, asegurándose de que todo estuviera bien. La forma en que las clasifican; no es como las que vemos aquí en Estados Unidos, que tenemos esas bolas de ping-pong de plástico. Estas son como pequeñas cuentas de plástico, son un poco más grandes que una cuenta, pero tienen un agujero en el medio y se almacenan, en lugar de en un contenedor plástico con candados, las deslizan por unas barras de metal, y cada barra sostenía un número determinado de bolas de lotería, y cada una de ellas estaba cerrada con candado. Así que era como una caja de madera gigante con diez filas de estas bolas de lotería, cada una con diez candados al frente. Así que, era, rudimentario, pero a prueba de manipulaciones hasta cierto punto, y velaban totalmente por ellas día tras día. Más intenso aún el día del sorteo como tal, velaban totalmente sobre el activo físico que eran las bolas de lotería. Entonces, una vez que pasaban por todo el proceso, los empleados las volvían a colocar en la tolva, y luego se realizaba el sorteo de la tolva, con las bolas rodando hacia abajo. Y había un panel de empleados de la Lotería de Puerto Rico que se sentaban al frente, y la bola, cuando salía, empezaban de izquierda a derecha. La primera persona a la izquierda tomaba la bola y la colocaba en una pequeña… una bandeja. Tenían bandejas vacías, y deslizaban la bola por la bandeja vacía, documentando en un papel el número que era, y luego continuaban haciendo eso para todo el sorteo, hasta que llegaban al final. Luego, cuando llenaban el soporte de bolas de lotería, lo cerraban, lo entregaban de vuelta al individuo. Tenían una cadena de custodia, formularios, y todo lo que se te ocurra. Luego, todos esos papeles, los documentos, se enviaban a una sala de revisión, donde había cuatro analistas que estaban allá y las tenían en orden, de principio a fin.
Y entonces veían un video y se aseguraban de que las bolas estuviesen dentro del estante metálico y validaban que sí, ese es el número correcto, esa es la bola correcta, etcétera, etcétera, etcétera, ¿verdad? Luego, eso se introducía en el sistema informático de la Lotería de Puerto Rico, y lo que sucedía a continuación es que se cargaba en una base de datos, y esa base de datos se compartía con el equipo de imprenta del gobierno de Puerto Rico, quienes hacían una impresión con todos los números ganadores en el periódico, y luego también lo tomaban y en las noticias esa noche hacían una notificación en vivo. Se publica en vivo; la lotería de Puerto Rico, puedes verla localmente en la televisión, y luego hacen un resumen en la televisión nacional, como lo hacemos acá en los Estados Unidos, hasta cierto punto. Entonces el proceso de seguridad físico era completamente sólido. No había nada que encontráramos fuera de lugar. Era como, ok, velan en todo momento hasta cuando imprimen los números, ¿sí? Incluso validamos los números, ¿verdad? Dijimos, eso está bien en el periódico. Sí, está bien en las noticias.
JACK: Entonces después de analizar el sistema, veían que la seguridad física de las bolas y el proceso de sorteo era justo y era seguro. El siguiente paso fue seguir los números. Una vez que los funcionarios registraban los números ganadores, ¿a dónde iban luego? Bueno, otro departamento del gobierno se encargaba de la siguiente parte. Había un departamento encargado del sorteo, y luego había otro departamento encargado de los pagos. Así que fueron al departamento de pagos y encontraron los sistemas donde se ingresaban los números ganadores. Confirmaron que los números ganadores sí coincidían con lo que realmente se había sorteado. Luego, hay una base de datos que se actualiza. La base de datos tiene una lista de todos los boletos de lotería comprados y qué números tenía cada boleto. La base de datos toma los números ganadores y actualiza todos los boletos en la base de datos para indicar si el boleto es un ganador y cuánto se debe ganar. Fueron a reunirse con el equipo que gestionaba esta base de datos.
OS: El administrador de la base de datos dijo: “¿Quiénes son ustedes y por qué están aquí? ¿Quién les autorizó a auditarme? Sé cómo hacer mi trabajo. Déjenme en paz.” Y realmente estaba un poco a la defensiva. Yo dije, hm, eso es algo raro, ¿no?
JACK: Quizás sea un poco raro, pero cuando yo administraba los firewalls en una empresa también era muy precavido con ellos. Yo también le pediría que me mostrase una autorización a cualquier persona que pidiera ver lo que hay adentro, solo para asegurarme. Así que tal vez esto está bien. OS: Entonces, en ese momento, dijimos, ok, tenemos que revisar el sistema de base de datos en sí. Así que… era una base de datos Db2 y pensé, ok, eso es una base de datos financiera bastante sólida y fiable. Quiero decir, las empresas hoy en día aún las usan; es muy transaccional, tiene sentido. La revisamos, vimos la configuración de seguridad y los ajustes. Yo no sabía lo suficiente sobre esto, así que contratamos a un profesional que era específicamente un administrador de bases de datos Db2. Él la revisa y dice, “Man, todo parece sólido y seguro”. JACK: El administrador de la base de datos revisó varias cosas, primero viendo quién tenía acceso, y efectivamente era todo el personal que debía tener acceso: solo el equipo de IT responsable de mantenerla. Nadie más. Luego, revisó la lógica de cómo se actualizaba la base de datos, y todo estaba bien. Los boletos que debían ser ganadores se actualizaban correctamente, y los boletos perdedores se mostraban sin premios. Así que, esta base de datos parecía estar todo en orden. Luego, fue a donde la gente compraban boletos de lotería y cobraban sus premios. OS: Auditamos ese proceso, donde las personas iban a cobrar sus boletos de lotería. Fuimos a auditar varios de esos establecimientos en la isla, porque eran lugares específicos. No era como si pudieras ir a cualquier gasolinera. Tenían lugares muy específicos donde podías ir a cobrar tu boleto de lotería por premios. JACK: Y eso también parecía estar bien. Nada extraño ni inusual allí. [MÚSICA] Así que él y su equipo volvieron a analizar para ver cuánto dinero estaba desapareciendo de la lotería mientras ellos observaban todo lo que sucedía. Y algo extraño ocurrió; durante las semanas que estuvieron allí investigando el temaa, observando a las personas, auditando los lugares de pago y analizando las bases de datos, la lotería no mostró pérdidas. Eso es un poco raro. Pero eso es una pista por sí misma. OS: Por eso vimos una bajada lenta de las pérdidas cuando llegamos a la isla y comenzamos a estar dentro del sistema. Realmente identificamos el momento crítico cuando fuimos y tuvimos la entrevista con el equipo de la base de datos.
JACK: Estamos hablando dell mismo equipo de la base de datos que lo cuestionó por estar allí, así que su corazonada fue que si esto dejó de suceder una vez metió su nariz en ese tema, entonces pensó que podría tratarse de un infiltrado.
OS: Entonces, le llevamos todo esto al gobernador y le dijimos: “Man, mira, lo único a lo que esto apunta es que tienes un infiltrado en algún lugar, y no sabemos qué es, pero está en el ámbito digital”. El gobernador de Puerto Rico nos mira a mí y a mi equipo y dice: “Sé que están aquí por temas de seguridad. Hagan lo que tengan que hacer para averiguar esto. Tienen inmunidad total, de cualquier crimen digital o físico en la isla, para que puedan averiguar cómo coño estoy perdiendo dinero”. Yo dije, “¿Puedo tener eso por escrito?” Y él dijo, “¡Absolutamente!” Así que hasta el día de hoy, tengo inmunidad para cometer cualquier crimen en la isla de Puerto Rico, lo cual es bastante cool. Era como “¡fuck yeah!”
JACK: Para entonces, él ya llevaba más de un mes intentando resolver esto. Mientras pensaba que solo iba a estar allí unas semanas, ahora volaba a la isla cada semana y regresaba a su casa los fines de semana. Pero ahora, sospechaba que alguien dentro de la lotería estaba haciendo algo raro. ¿Pero quién?
OS ha examinado todos los aspectos de la red y no ha encontrado nada que sugiera que la lotería está perdiendo dinero. Ha confirmado que antes de su llegada, efectivamente estaba perdiendo mucho dinero, pero lo que sea que estaba pasando dejó de suceder desde que él llegó. Esto lo hace creer que hay un infiltrado que detuvo su actividad una vez que vio que él estaba investigando. Pero ahora, el gobernador de Puerto Rico, la posición ejecutiva más alta de la isla, le dio inmunidad total y le ha permitido investigar como lo desee, incluso si eso implica romper la ley para hacerlo. OS: [MÚSICA] Absolutamente. Por eso me dieron la inmunidad, porque… JACK: Claro, te referías a – ¿que si podías entrar a una red? OS: ¿Puedo colarme en un edificio?
JACK: Pero, ¿le preguntaste eso al gobernador?
OS: Sí. Le dije, “¿A qué te refieres con ‘lo que sea’? Él me dijo, “Haz lo que tengas que hacer.” Yo le dije, “¿Entonces estás diciendo que puedo colarme en un edificio y no ser arrestado si – o, si me arrestan, tengo inmunidad y me dejarás libre de todos los cargos?” Él dijo, “Sí, y te invitaré a mi casa a tomar Chinchón y, yo que sé, Cuba libres.”
JACK: Qué emocionante.
OS: Mi friki interior se emocionó. O sea, ¿qué coño? Él estaba totalmente – para mí, como pen tester digo, ¿qué carajo? ¿Acaba de darme inmunidad el gobierno de Puerto Rico para hacer qué? Ok.
JACK: Esto es muy poco común. Ni siquiera sé cómo reaccionar. Porque básicamente le dieron permiso para hackear el gobierno de Puerto Rico para encontrar a este infiltrado, lo que es como un pentesting ¿no? Pero normalmente esto se hace solo para verificar qué tan seguro es el sistema. En este caso, él iba a hackear la red para intentar atrapar a alguien que estuviera cometiendo actividades criminales dentro de la red de la lotería. Este objetivo es totalmente diferente de un pentesting normal. Además, los pentesters típicamente tienen lo que se llama una “carta para salir de la cárcel”, que es generalmente que el jefe de seguridad les ha dado permiso para hackear la red o para entrar en un edificio. Pero en este caso, en el caso de OS, él tiene una verdadera carta de “salir de la cárcel-cárcel”. El gobernador que le permite quebrantar las leyes si lo desea.
Ahora, Os ha hecho varias pruebas de penetración antes de hacer trabajo ofensivo mientras estaba en los Marines, pero también las ha realizado como consultor. Así que tiene experiencia en ello y ya conoce bien el terreno, porque ha estado auditando todo este proceso durante el último mes. Sabe cómo funciona todo y quiénes son las personas que lo hacen funcionar. Lo primero que hace es notificar al FBI. Ahora, te preguntarás, ¿por qué el FBI estaría interesado en lo que está pasando en la lotería de Puerto Rico? Y eso es porque Puerto Rico es un territorio de los EE. UU., así que en realidad hay una oficina del FBI allí, y OS pensó que este era un caso criminal digno de que el FBI lo supiera y que él estaba investigando con permiso para hacerlo.
OS: Me dijeron: “Está bien, investiga, consigue todo lo que puedas. Tienes carta blanca para hacer lo que quieras, ¿verdad? Como, literalmente, carta blanca.” Cabe mencionar que hasta ese punto, yo había estado con traje y corbata todos los malditos días, como se espera de un consultor, generalmente en la oficina de tu cliente. De ahí en adelante iba de paisano, actuando como turista. Hice algunas cosas para cambiar mi apariencia y entré directamente al edificio gubernamental. Empecé a, pues, echar un vistazo.
JACK: Entró en este edificio porque sabía que ahí es donde estaba la base de datos y la red principal del sistema de pagos de la lotería. Piensa que si puede entrar al edificio, tal vez podría infiltrarse en la red de manera encubierta. Pero te preguntarás, si tiene plena autorización del gobernador, ¿por qué no simplemente obtiene la autorización oficial para ingresar al sistema de red él mismo? Es que ya lo había hecho, ¿recuerdas? No encontró nada. Eso podría haber sido porque era muy obvio que estaba allí buscando algo en particular. Si estás infiltrado en el sistema, hackeando el sistema y tratando de no ser atrapado, no vas a estar en la red haciendo cosas malas cuando tienes auditores mirándote, ¿verdad? Así que quiere entrar de manera encubierta para ver si puede encontrar actividad maliciosa de un infiltrado cuando ellos piensan que no están siendo observados. [MÚSICA] Así que se dirige a este edificio gubernamental con el objetivo de encontrar una manera de acceder a la red. Pero para ser exitoso, necesita llevar algunos suministros. OS: Un set completo de ganzúas. Eso era lo primero. Tenía dos laptops conmigo. Las llevaba a todas partes. Llevaba mi laptop de forensics y mi laptop de seguridad ofensiva. Las herramientas básicas que llevo son una navaja y una linterna. JACK: Con mucha pinta de turista, se dirige al edificio de gobierno. Este edificio es de acceso público con lugares donde los ciudadanos pueden hacer cosas como obtener permisos o canjear boletos de lotería allí. Además, él ya había estado en este edificio varias veces mientras auditaba todo el proceso de la lotería. OS: Había una puerta donde sabía que estaba la oficina de finanzas. O sea, digamos que está caminando por un pasillo y llegas a una intersección en T. A la derecha había un cartel que decía “Finanzas”, pero justo al frente, como a dos metros, después de esa intersección en T, había una puerta. Pensé, “Hmmm, me pregunto si ahí guardan los registros financieros físicos. Tal vez haya una computadora desbloqueada ahí.” Eso es lo que pensaba así de entrada. Miro arriba y no hay cámaras apuntando a esta puerta. Las cámaras apuntan hacia el pasillo principal, hacia donde está la entrada del gobierno de Puerto Rico, y luego hacia el pasillo donde está la puerta principal de la oficina de finanzas, pero no hay ninguna apuntando hacia mí o hacia la puerta en la que estoy, porque al final del pasillo, y básicamente no hay mucho más a donde ir. Entonces, dije, “Ok, voy a apoyarme aquí contra la puerta y menear un poco el pomo.” Estaba cerrada, así que saqué mi set de ganzúas. JACK: Comienzó a intentar forzar la cerradura, lo cual no es algo rápido ni fácil de hacer. Toma tiempo, toma paciencia y muchos intentos. Y tal vez no tenga la herramienta adecuada al principio y tenga que probar otra. No sabe si tiene que girar la cerradura a la derecha o a la izquierda para abrirla, así que es como puro tanteo. Al mismo tiempo, está nervioso y alguien podría aparecer por la esquina en cualquier momento y ver lo que está haciendo e interrogarle. Pero después de un rato, logra abrir la cerradura y abre la puerta. OS: [MÚSICA] Abrí la cerradura de esta puerta. Estaba en lo cierto: era el departamento de de finanzas. Estaba en lo cierto: allá estaban todos los fucking documentos físicos. Estaba en lo cierto en que había computadoras. Me equivoqué al no pensar que tal vez habría gente sentada allí. Así que, cuatro personas se giran y me miran y me dicen, “¿Qué estás haciendo aquí? ¿Cómo abriste esa puerta? Esa puerta debería estar cerrada con llave.” Yo pensé, “Oh, mierda.” JACK: Y simplemente salió rápidamente al pasillo y cerró la puerta. Vio que las gente se levantaba para ir a ver qué estaba haciendo. OS: Estaba pensando, “Aquí fue, me van a meter en una cárcel puertorriqueña.” Esto va a ser un desastre, ¿verdad? Estaba fucking asustado, man. No sabía si podía creer al gobernador de Puerto Rico o no. ¿Realmente me va a sacar de la cárcel? ¿Cuánto tiempo les va a tomar darse cuenta de que estoy en la cárcel, verdad? Esos son los pensamientos que pasaban por mi cabeza en ese momento.
JACK: Tuvo que pensar rápido. Hizo un plan mental; ¿debería correr? Bueno, eso ciertamente lo haría parecer más sospechoso y podría hacer que lo echaran del edificio definitivamente. En cambio, quiso contener el problema solo en esta oficina, así que caminó hacia la puerta principal de la oficina de finanzas e intentó pensar en una historia. Como ya había estado allí antes, recordó que el piso de arriba era donde estaba la oficina de pasaportes, y decidió usar eso como excusa. Iba a actuar como un turista perdido que no sabía hablar español y estaba buscando la oficina de pasaportes. Entonces, disimuló y entró en la oficina de finanzas.
OS: Y les dije, “Es que… me dijeron que viniera aquí porque esta es la oficina de pasaportes.” El director de finanzas de todo el gobierno de Puerto Rico era uno de los tipos sentados en la parte de atrás, ¿verdad? Salió y dijo, “Esa puerta no estaba sin cierre”. Yo le dije, “Sí, lo estaba. Solo la abrí. No sé. Lo siento, señor. Es que yo – perdí mi pasaporte. Estoy tratando de ir a Cuba.” Porque en ese momento, se podía volar de Puerto Rico a Cuba. No se podía volar directamente de Estados Unidos a Cuba, pero sí se podía volar a Puerto Rico y luego de Puerto Rico a Cuba como ciudadano de Estados Unidos, ¿verdad? El director de finanzas me miró raro, pero dijo, “Sí, ven conmigo.”
JACK: Lo escoltaron hasta la oficina de pasaportes. Intentaba contener su estrés mientras caminaba, y en el camino, el jefe de finanzas estaba curioso por toda la situación.
OS: Bueno, me llevó a la oficina de pasaportes y entré. Dije, “Oye…” Llené un montón de documentos e hice como si necesitara renovar mi pasaporte, básicamente porque lo había perdido o algo así, y esperé a que se fuera. Me quedé sentado porque había varias personas allá, y esperé como media hora más o menos, si mal no recuerdo, y luego salí y continué por el camino. Estuve a punto de que me agarraran.
JACK: Salió del edificio. Suficientes emociones por un día. Quién sabe qué habría pasado si lo hubieran pillado o si lo hubieran echado de otra planta intentando abrir otras puertas. Decidió irse y dejar que las cosas se calmaran un poco.
OS: Volví al día siguiente, y ya había visto lo que parecía una sala de comedor en el tercer piso. Ojo, este edificio del gobierno tiene como siete pisos. Pensé, “parece una pequeña sala de comedor. Voy a ir a echar un ojo a eso hoy.” Así que subí al tercer piso. Para que sepas, el área de finanzas estaba en el primer piso; el segundo piso era la oficina de pasaportes, así que la seguridad era pésima en varios aspectos, y lo incluí en mi informe al gobernador de Puerto Rico. Le dije, “Compadre, tienes todos estos registros financieros aquí; tus registros físicos financieros están en el primer piso. Tienes huracanes e inundaciones continuamente en esta isla; deberías pensar en moverlos a un piso más alto.” Mierdas así. Esas fueron otras recomendaciones que estábamos haciendo para él.
JACK: Subió al área de comedor, y caminó por los pasillos cercanos. Vio otra puerta e intentó adivinar qué habría dentro. Puso su oído en la puerta. No se oían ruidos. Tampoco había ventanas para ver. Caminó por los pasillos. No había señales de qué podría ser esa oficina, y no estaba conectada con ninguna otra; era una oficina aislada sin señalizar. Sacó sus ganzúas y comenzó a trabajar en la cerradura. [MÚSICA] Después de unos minutos, la abrió y miró adentro.
OS: Cuando abrí la puerta, buf, había como cuatro o cinco centímetros de polvo por todo el fucking piso. Miro a mi derecha y hay tres computadoras alineadas en una fila con plástico cubriéndolas. Y tipo no había luces allí, así que pensé, “Bueno, está bien.” Literalmente saqué mi linterna y me dirigí hacia las computadoras. Y voilà una estaba encendida.
JACK: Genial. Esto es perfecto para él; una habitación que nadie visita. Está oscura, tranquila y tiene una computadora funcionando. Esto es oro. Si esta computadora está conectada a la red de lotería, podría usarla para observar y recopilar datos que necesita para atrapar al topo. OS: Cerré la puerta detrás de mí y coloqué mi laptop contra ella, por si acaso alguien entraba, la laptop caería y me alertaría… no era una habitación grande. Probablemente medía unos 15 metros por 15 metros, pero me daría suficiente tiempo para, no sé, cerrar todo lo que estaba haciendo, ¿sabes? Pensé, “Uf, ¡brutal! Vamos a ver qué pasa.” Levanté el plástico del monitor. Pensé, “Veamos si siquiera funciona.” Encendí el monitor; me apareció la pantalla de inicio de sesión de Windows con la cuenta de administrador. Pensé, “Hm, esto no va a ser tan fácil, ¿verdad?” Como, admin/admin. Y nah, no funciona… Entonces, me senté y pensé, “Vamos a pensar en esto lógicamente… si yo fuera el administrador o el administrador del sistema del gobierno de Puerto Rico y estuviera corriendo un sistema de 1998, ¿qué usaría como contraseña para el administrador?” Entonces, pasé por la lista típica de contraseñas predeterminadas para el admin, como admin/admin, admin/administrator, admin/root, etcétera, etcétera. Probé esto en un plazo de un par de horas porque no quería disparar ninguna alarma por intentos fallidos de inicio de sesión en el sistema. JACK: Ninguno de sus intentos de inicio de sesión funcionó. No pudo adivinar la contraseña correcta. Encontró algunos puertos Ethernet abiertos y trató de conectarse a ellos, pero ninguno funcionó. Pensó en desenchufar la computadora que estaba funcionando y conectar su laptop a ella, pero no estaba seguro de si esa computadora estaba corriendo algo importante. Quería ser lo más sigiloso posible. Así que decidió irse a casa por la noche para repensar y planificar una estrategia. OS: Pensé, “Está bien, Metasploit, ¿qué tiene para sistemas Windows de 1998?” Había una pantalla de inicio, ¿cómo era? Una característica de accesibilidad, no recuerdo bien cuál era la vulnerabilidad, pero básicamente terminé creando un exploit que podía cargar en un USB y bypasear la pantalla de inicio de sesión.
JACK: Ok, Metasploit es un conjunto de herramientas realmente genial con un montón de exploits y vulnerabilidades que ya están preempaquetados y listos para que los uses para hackear cosas. Creó una unidad USB con el payload del exploit, y si el exploit funcionaba, debería poder regresar a esa computadora, conectar el USB y acceder al sistema. [MÚSICA] Así que regresa al día siguiente, sube al mismo cuarto, abre la cerradura, coloca su laptop contra la puerta como una alarma rudimentaria, saca su USB malicioso, y lo conecta a la computadora que corría Windows 98. OS: Me metí, conseguí acceso completo. Genial. JACK: Ahora ha entrado a la computadora como administrador. Increíble. Pero pronto se da cuenta de que solo era administrador de esa computadora. No le daba acceso a nada más. Verificó el estado de la red. Sí, esta computadora estaba conectada a la red y sí, podía alcanzar la red de lotería desde allí. Fantástico. OS: “Está bien, tengo acceso a este sistema, soy administrador local. ¿Hay algún antivirus corriendo en esto?” No me detectó el exploit, así que por esa parte bien. No había antivirus local en el sistema. Estaba conectado a la red. Pensé, “entonces, tengo un par de opciones aquí; puedo desenchufar y rezar que no estén usando un 802.11x, seguridad basada en NIC o algo así, o si están filtrando direcciones MAC, etcétera, etcétera.” Comencé a pensar, “¿Cuáles son mis opciones aquí? ¿Instalo herramientas localmente en este sistema o desenchufo el NIC del sistema y luego conecto mi laptop de pen testing?” Bueno, mientras tanto, pensé: “Está bien, tengo acceso como administrador local. Voy a dejar descargando los archivos de credenciales.” JACK: Cuando tienes usuarios en una computadora, su nombre de usuario y la clave hash de la contraseña se almacenan en algún lugar de esa computadora. Cuando eres administrador, puedes ver el hash de la contraseña. Ahora, el hash de la contraseña no es la contraseña; es el resultado de pasar la contraseña por un algoritmo, y parece unas letras random. Así que tomó este archivo hash para tratar de descifrar las contraseñas en esta computadora, porque con el exploit USB que usó, bypaseó el proceso de inicio de sesión. No usó una contraseña para entrar. Pensó que si podía descifrar la contraseña en esta computadora, podría intentar usar este nombre de usuario y contraseña para ingresar a otras computadoras en la red. OS: Así que lo metí en un USB, lo saqué y lo monté en mi laptop de pruebas. JACK: Ejecutó una herramienta llamada John the Ripper para probar cientos de miles de contraseñas y ver si coincidían con el hash. El programa puede probar cientos de contraseñas por segundo o más, dependiendo de qué tan rápida esté la computadora, así que sabía que tomaría un tiempo, y dejó corriendo. OS: Así que pensé, “¿Sabes qué? Que se jodan. No se han dado cuenta de que este sistema está en línea. No van a saber si se desconecta, así que desenchufo… JACK: Solo desenchufó el cable de la red, no el de la alimentación. OS: …y lo dejé desconectado toda la noche solo para ver qué pasaba, ¿sabes? Así que salí de la habitación, dejé todo desconectado, y fui a construir una unidad USB que tuviera un montón de herramientas como Nmap y herramientas man-in-the-middle. Pero básicamente, construí mi suite de herramientas en una unidad USB que podía llevar y ejecutar directamente desde ella en lugar de instalarla en el sistema, ¿entiendes? JACK: [MÚSICA] Con toda esta suite de herramientas, regresó al día siguiente, subió al piso, forzó la cerradura, volvió a entrar, colocó su laptop contra la puerta, y se dirigió nuevamente a la computadora. Volvió a conectar la computadora al puerto de red y todo estaba bien. Luego conectó la unidad USB e inició una de las herramientas que había traído. OS: Entonces, escaneé la red. JACK: Esto es lo que típicamente hace un pen tester para obtener una visión general del terreno. Escanear la red es básicamente conseguir un mapa de lo que hay. Puedes preguntar a ciertos sistemas qué otras computadoras conocen, y estarán felices de contestarte. Los escaneos de Nmap también son comunes y pueden escanear un rango completo de direcciones IP dentro de la red para ver si algo responde. OS: Sabía los rangos de direcciones IP para los sistemas de IT de la lotería, así que pensé, “Bueno, voy a ver si puedo hacer ping a esas direcciones IP y ver cómo se ve esta red.” Y era como, básicamente plana. JACK: Me gusta pensar en una red plana como el casco vacío de un barco. Si es solo un gran espacio abierto en el casco y hay un agujero en el casco, todo el casco se puede llenar de agua. Así que una buena idea es segmentar tu red para que si alguien entra a una parte de tu red, quede completamente bloqueado para acceder a otras partes. Lo que descubrió es que esta computadora olvidada no solo estaba conectada a la red, sino que podía acceder a todas las partes de la red ya que no había nada bloqueándola. Esto fue fantástico para Os, que quería encontrar una forma de acceder a los sistemas que consideraba sospechosos. Pero ahora se acercaba el final del tercer día. Pensaba que empezaba a ser riesgoso tener que regresar todos los días, abrir una cerradura y colarse, así que configuró un reverse shell hacia esta computadora. Esto le permitiría regresar al hotel y desde allí, conectarse remotamente a esa computadora y usarla como si estuviera sentado frente a ella. Así que regresó al hotel y revisó los escaneos que estaba haciendo sobre el rango de IPs de la lotería. OS: Encuentro un servidor web que tiene el puerto 80 y dije, “Está bien, eso es genial. Me pregunto si está abierto hacia afuera.” JACK: Con “abierto hacia afuera”, se refiere a si puede acceder a él desde la Web y no solo desde la red local. OS: Entonces, hice un escaneo del exterior de la red también. De nuevo, afortunadamente para nosotros, ya nos habían dado las direcciones IP de, no solo de la lotería, sino de todo el gobierno de Puerto Rico, porque cuando estábamos hablando con ellos, dijimos, “Miren, tal vez alguien los comprometió desde afuera y están sacando dinero, ¿verdad?” Puede que sea una posibilidad. Así que pedimos y nos dieron. Entonces hice un escaneo de los puertos expuestos, y encontré el servidor web que ejecutaba la misma versión de Drupal que yo tenía identificada. Busqué en la base de datos de Metasploit; había un exploit para esa versión, con ejecución de código remoto y estaba ejecutando en un sistema Linux. JACK: Cuando intentas explotar un sistema y obtener acceso no autorizado, cuanto más sepas sobre él, mejor. Un escaneo puede mostrarte qué tipo de servidor está corriendo, qué gestor de contenidos tiene, y en este caso, Drupal era el gestor de contenidos y el sistema operativo era Linux. Además de eso, podrías obtener las versiones de los programas que están en ese sistema. Si sabes qué versión está ejecutando, puedes buscar si esa versión tiene vulnerabilidades conocidas que puedas explotar. OS encontró una vulnerabilidad para esa versión de Drupal y trató de explotarla desde el exterior, y bingo, funcionó. [MÚSICA] Entró, lo cual siempre da adrenalina al hackear un sistema desde el exterior OS: Yo estaba como, ¡mierda! ¡sí! Literalmente, todo el equipo estaba sentado alrededor de la mesa y yo estaba ahí, como un loco, me estaba bebiendo un Mai Tai en ese momento como, ¡joder, sí! miren esto. Estoy haciendo mi due-diligence con capturas de pantalla y toda la cosa, ¿sabes? Y ellos estaban como, ¿me lo dices en serio? Yo les dije, así es. Entonces, hago comandos generales para mostrar quién soy, y muestra root. Luego, hice un volcado de… básicamente la estructura de archivos y les mostré que realmente era el servidor web puertorriqueño, ¿sabes? No era un servidor cualquiera, man. Empecé a hacer ping a las direcciones IP internas que ya habían capturado imágenes forenses, también. Estaban como, mierda. Yo les dije, fuck yeah, y desde el Wi-Fi del hotel, bro. ¿Qué te parece? JACK: Excelente. Ahora está en un sistema dentro de la red de la lotería, y desde aquí puede acceder a otras computadoras y redirigir el tráfico hacia este servidor Linux para capturar y analizar el tráfico en la red. Este es el ataque de “man in the middle” que él quería hacer. Es como una escucha telefónica pero para el tráfico de red. Entonces, una vez que tiene todo esto configurado, observa el tráfico día tras día. OS: Básicamente, esto es… sí, estamos en el mes tres y un cuarto en este punto. Entonces, lo que hicimos fue que empezamos a bajar el perfil una vez que ya había hackeado todo y tenía acceso, y simplemente comenzamos a monitorear. Estábamos sentados en el hotel monitoreando, chilling, pasando el tiempo. Sabemos que se hace el sorteo, sabemos que la entrada real se realiza la noche del sorteo, pero los pagos no comienzan hasta la mañana. Vimos un inicio de sesión desde un - desde un sistema de la base de datos en particular hacia el mainframe, lo cual era anómalo, ¿verdad? Ver eso. Entonces, en ese punto dijimos, ok, necesitamos acceder al mainframe. Así que el gobernador de Puerto Rico obligó al CIO, Director de Información, a darnos acceso físico a ese mainframe. Básicamente, sacaron al CIO de su trabajo y lo mandaron de baja temporal. Y ahora tenemos acceso como administrador a este mainframe, el mainframe IBM donde se ejecuta la base de datos, y montamos algunas herramientas de monitoreo y comenzamos a observar. JACK: Puderon observar los registros de la base de datos; quién inicia sesión, qué cambios hacen, qué datos se actualizan. Con una base de datos como esta, hay un montón de cambios. Entonces, cuando alguien va a cobrar su boleto de lotería ganador, lo lleva a un lugar donde pueden cobrarlo, y el cajero escanea el boleto. En ese momento, el escáner consulta la base de datos para ver si es un boleto ganador o no. Ya la base de datos tiene una operación de lectura que mostraría los registros. Luego, la base de datos le dice al cajero, este es un boleto ganador, debes pagar esta cantidad. Cuando el cajero paga, actualiza la base de datos para indicar que este boleto ha sido pagado y no debe ser cobrado nuevamente. Entonces, cada boleto de lotería que se paga genera una actualización en la base de datos, lo que significa que hay muchos registros que él tiene que revisar para tratar de encontrar algo extraño. Así que está observando estas transacciones todo el día, todos los días. Un cajero escanea un boleto ganador de lotería; es ganador y debe ser pagado por un dólar, y el cajero paga el dólar. Nada raro. Pero cuando observa más de cerca estos registros y los analiza más, ve algo. [MÚSICA] Ve a alguien cambiar el monto del pago de un boleto ganador de lotería. Fueron a la base de datos y aumentaron el pago por encima de lo que realmente era. OS: El pago debía ser un dólar, pero se cambiaba a como 10,000 dólares. Verías la transacción de 10,000 dólares salir, y luego la cantidad que realmente se pagó volvía a ser un dólar en la base de datos. JACK: Esto era lo que buscaban: la prueba irrefutable. Alguien dentro del equipo de informática de la lotería estaba entrando en la base de datos, cambiando un número, esperando que se realizara el pago, y luego volviendo a cambiarlo. Por eso cuando auditaron todas las transacciones antes, no encontraron ningún signo de que esto hubiera ocurrido, porque alguien estaba entrando en la base de datos y borrando la evidencia. Solo por estar sentados pacientemente, haciendo un monitoreo en tiempo real de los registros, recogiendo el tráfico de la red, y observando cómo se pagaban los boletos, que pudieron darse cuenta de esto. OS: En el momento en que yo entré y estábamos monitoreando y vimos esto, tuve que contactar con el bureau inmediatamente, con la oficina de campo del FBI de Puerto Rico. JACK: El gobernador quería que arrestaran a quien estuviera detrás de esto e instruyó a Os a contactar con el FBI. Recordemos que Puerto Rico es territorio de EE. UU., así que hay una oficina del FBI en la isla. Pero antes de que pudiera darle toda esta evidencia al FBI, necesitaba averiguar quién era la persona que estaba haciendo estos cambios, porque el problema era que quien lo hacía usaba el nombre de usuario ‘service’ para hacer estos cambios, no un nombre de usuario real. Así que no estaba claro quién entraba y hacía estos cambios. Pero lo interesante de esta base de datos, porque es una base de datos súper segura, es que la única manera de hacer esos cambios en ella era ir físicamente al centro de datos donde estaba el servidor y acceder a él de esa manera. No había ninguna otra manera de conectarse a esto en remoto. Esto es genial porque ahora solo necesita saber quién estaba en la sala en ese momento cuando se hizo el cambio, y hay una manera fácil de averiguarlo: había cámaras de seguridad. OS consigue acceso al video y lo rebobina hasta ese momento. OS: [MÚSICA] Lo vemos entrar en la sala de servidores, como dos segundos después, iniciar sesión en el mainframe, estar allí unos minutos y luego salir. Así que pudimos razonar, como– hubo una transacción entre este punto y este punto. ¿Qué pasó en este momento? Así que lo que empezaron a hacer fue tomar instantáneas de esa base de datos, literalmente cada hora, y lo que pudimos señalar fue: mira, la sincronización de anoche de esto, este boleto debería haber pagado un dólar. Cambió en este momento. Aquí está la grabación de la cámara, aquí está el acceso a la red al mainframe, aquí está el acceso a la grabación de él entrando a la sala de servidores donde está el mainframe, aquí está la modificación en la tabla de pagos, y aquí está la modificación de la tabla de pagos de vuelta. Aquí está él saliendo de esa sala de servidores, pasando su tarjeta de regreso a la base de datos de la sala de IT, y aquí está el video de eso también. Entonces, lo clavamos, lo atamos todo de arriba a abajo. JACK: Entonces, esto explica lo que sucedía dentro de la red en ese momento, pero ¿qué pasaba fuera de la red, en las estaciones de pago? Esta operación tendría que haber estado coordinada con alguien afuera. OS: Sí, ellos decían que estarían en este establecimiento de pago a esta hora, así que este tipo llegaba diez minutos antes, cambiaba el monto del pago. La persona se acercaba con un boleto, y escribían el número de serie del boleto, y salía que era por 10,000 dólares en lugar de uno. Él veía procesarse la transacción y luego inmediatamente lo volvía a cambiar a un dólar. Así que las personas al otro lado, en las estaciones de pago, no lo sabían. Estaban como, oh, este es un boleto ganador de $10,000, qué bien. Aquí tienes tus $10,000. JACK: OS resolvió el caso. Descubrió cómo millones de dólares estaban siendo robados de la lotería y sabe exactamente quién lo hizo, con toda la evidencia mostrando cómo se hizo. OS: Llamamos al bureau. Les dijimos, chicos, tenemos evidencia de principio a fin de fraude. Completamente. Sabemos que esto está pasando; definitivamente, esta persona está haciendo esto activamente. El FBI dijo, “genial, recopila toda tu información”. Esto es un poco divertido. Cuando te reúnes con el bureau para entregar la información, podrías pensar que irías a su oficina y entregarles las pruebas que tengas. Pero no, no era el caso aquí. Como éramos los gringos en la isla, porque habían mandado al Director de Información de baja, y básicamente ya habíamos entrevistado y había suficiente ruido en el ambiente, y la gente estaba medio empezando a hablar al respecto, el FBI nos dijo que, “hey, que hay rumores con el Cartel de que hay gringos en la isla investigando ahora mismo, vayan con cuidado”. Por eso mantuvimos el perfil bajo por un tiempo. Primero, necesitaba recopilar evidencia, y segundo, estábamos en modo perfil bajo porque el cartel… había rumores en el FBI de que el cartel estaba al tanto, de que había una investigación en marcha. Pero una vez que realmente… esta es la parte divertida. De nuevo, lo que quería decir es que pensarías que sería en una oficina donde entregarías esos datos y bueno, no. Aquí estoy, un gringo en Puerto Rico, ¿sabes? Llaman a los extranjeros “gringos”, ¿verdad? Así que… la FBI, en lugar de tener– y esto me sorprendió mucho porque había trabajado con ellos un montón en el ejército, ¿ok? Me sorprendió mucho cuando dijeron: “sí, nos vemos en la zona de restauración del centro comercial y trae todo en una memoria USB”. [MÚSICA] Pensé, “¿qué coño?” Así que fui al centro comercial de Puerto Rico a encontrarme con los agentes federales, para transferir la evidencia empírica que teníamos en ese momento sobre al menos este administrador de base de datos que hacía manipulaciones y pagos, ¿sí? Y literalmente me encontré con estos dos tipos vestidos con ropa casual. Fuimos a pedir comida en el pequeño puesto de comida. Caminábamos con las bandejas y él dijo, ¿tienes la memoria USB? Solo colócala en mi bandeja mientras caminamos. Entonces lo hice, él la agarró, la metió en su bolsillo y nos sentamos a almorzar. Bastante loco, ¿no? Es como, ¿qué coño? JACK: Supuestamente la razón para esto es por seguridad. Hay carteles de droga en la isla y la FBI sabe que los carteles están observando de cerca la oficina del FBI y sabe quién entra y sale. Como ya se hablaba de OS en los carteles, no querían alertar a nadie de que OS podría haber encontrado algo y estaba reuniéndose con la FBI. Así que hicieron que pareciera que era solo una reunión casual para el almuerzo. Claro que no pasarías evidencia de máxima seguridad en un lugar público donde cualquiera podría escuchar, ¿verdad? Esa fue exactamente la razón por la que lo hicieron allí. OS: Cuando hago ese tipo de entregas, ellos la revisan casi enseguida y corriendo, ¿sabes? Pero recibí una llamada como a las 7:00 de esa noche; “hey, nos vemos en este lugar– X”. Queremos un informe, básicamente, de lo que hay aquí y que nos expliques, como te estoy hablando a ti ahora, los detalles de lo que pasó. Mi pareja en realidad estaba viajando a la ciudad y se suponía que llegaba como a las 9:00. No salí de la reunión hasta casi medianoche, y no pude ir a recoger a mi pareja al aeropuerto. Estaba esperando en el aeropuerto en la oscuridad, con todas las luces apagadas, y no podía ir a buscarla porque estaba en una reunión con el FBI. Les dije, “oye, mi pareja está en el aeropuerto. ¿Les importaría ir a recogerla?” Ellos dijeron, “claro”. Así que pasaron a recogerla. JACK: Pero el FBI no recogió a nadie. Solo pasaron por allí y dijeron que no vieron a nadie, y se fueron. Así que, cuando terminó la reunión, OS llama a su pareja para ver qué estaba pasando. OS: Mi pareja estaba absolutamente furiosa, hermano. Como, realmente más que enojada.
JACK: La razón por la que no puede explicar esto es porque se trata de un caso clasificado. No puede explicar que estuvo con el FBI todo el tiempo, porque ¿y si los carteles están escuchando su teléfono o algo así, verdad? Así que lo único que OS podía hacer era inventarse una historia. OS: Lo siento mucho. Me quedé dormido. JACK: Pero, por supuesto, eso no fue lo que pasó. Simplemente no podía explicar nada. Al menos no aquí, no ahora. Pero regresa a su hotel y se queda un poco más en la isla para ayudar al FBI. OS: Básicamente, nos pusieron bajo custodia monitoreada. Nos seguían a todos lados a donde íbamos. JACK: Continuó reuniéndose con el FBI para proporcionar más evidencia e información a la que tenía acceso y que podría ayudar en el caso. OS: La oficina se encargó de la mayor parte de la investigación. Nosotros les dimos apoyo limitado, más como algo secundario e informativo para llenar los vacíos que no podían cubrir con lo que habíamos proporcionado y demás. JACK: El FBI estaba descubriendo evidencia de que los nombres que Os había proporcionado estaban vinculados a un cartel en la isla, [MÚSICA] básicamente un grupo de contrabando de drogas ilegal. De alguna manera, el FBI encontró a un miembro del cartel con boletos de lotería y se los confiscó. Llaman boletos a esos tickets, así que el FBI se preguntó: ¿qué pasaría si intentan cobrar estos boletos? Entonces, mandan a alguien a infiltrarse en una estación de pagos y entregar uno de esos boletos que venía de un miembro del cartel. El cajero mira el número de serie del boleto y luego mira al agente encubierto, y ni siquiera intenta cobrarlo. En su lugar dice… OS: Da la vuelta y entra por la parte de atrás, al garaje, y alguien te ayudará en breve. Resulta que le dijeron que abriera el maletero, que no mirara atrás, y que condujera hasta un lugar concreto. Entonces, abrió el maletero, le pusieron cosas dentro, luego condujo básicamente a cualquier otro lugar y, no sé exactamente a dónde fueron. Y abrieron el maletero para ver qué había y encontraron como cincuenta kilos de cocaína y cuarenta rifles de asalto, hombre. Así que, no solo estaban robando dinero al gobierno de Puerto Rico, sino que también estaban traficando armas y drogas a través de ese proceso. JACK: Aparentemente las personas que trabajaban en el establecimiento de pago también formaban parte de esto de alguna forma. Tenían un sistema establecido que, si alguien llegaba con un boleto específico, significaba que eran un conductor del cartel y que venían a hacer una recogida. Así que, cuando el FBI pasó por la parte trasera y cargaron el coche con cocaína y armas, fue una gran sorpresa. Se dieron cuenta de que habían descubierto algo mucho más grande que solo el fraude de lotería. Pero de alguna manera, todo estaba relacionado. OS: Así que, era un esquema bastante elaborado del cartel. En ese momento, el bureu literalmente nos extraditó de la isla por seguridad. Nos dijeron, tienen que largarse de aquí ya mismo. Interrumpieron una inmensa operación del cartel y vamos a desmontarla, así que se tienen que largar de la isla. JACK: Así que, por supuesto, OS se largó de allí. Esta es la razón por la que no quería que se mencionara su nombre en este episodio, porque su vida estaba en peligro por haber descubierto esta operación del cartel en Puerto Rico, lo que significa que aunque todavía tiene inmunidad del gobernador para cometer delitos en la isla, probablemente nunca pueda regresar. El FBI acusó a diez personas involucradas en este caso. La acusación afirma que estas personas llevaron 12 millones de dólares a una isla cercana, compraron cocaína y la trajeron de regreso a Puerto Rico. Usaban botes y aviones para traficar las drogas e incluso usaron teléfonos BlackBerry para comunicarse entre ellos, y hasta tenían rituales espirituales antes de hacer una compra grande. Su intención era distribuir y vender esto en Puerto Rico para obtener ganancias financieras. La acusación también afirma que tres de las personas mencionadas estaban involucradas en el lavado de dinero a través de la lotería. En total, el FBI cree que estas diez personas generaron ilícitamente 127 millones de dólares de la venta de drogas, armas y boletos de lotería. Los agentes federales querían tratar de incautar todo ese dinero si lo encontraban, así como aviones, botes, coches y propiedades que formaran parte de la operación. Al revisar este caso, me di cuenta de que estaba relacionado con un caso en el que, unos años antes, arrestaron a otras veinte personas, incluido el líder de este cartel. Gran parte de la evidencia se basa en el testimonio de lo que esas personas dijeron en su juicio. Diez individuos fueron arrestados en esta operación que OS descubrió. Los primeros que revisé todos se declararon no culpables al principio, y luego cambiaron a culpables. Estas personas recibieron penas de prisión de cinco a quince años por esto. Uno de los tipo mantuvo su declaración de no culpabilidad, lo que significó que este caso fue a juicio, lo cual es genial para mí porque ahora puedo ver muchos más detalles sobre el caso, ya que las transcripciones del juicio son públicas. Resulta que estaban usando estos boletos ganadores de lotería para lavar dinero. Así es como lo hicieron: [MÚSICA] los registros judiciales muestran que tenían a alguien dentro de la lotería que producía boletos ganadores. Luego, esos boletos ganadores se vendían a las personas del cartel por un 20% más de lo que valían, así que si el boleto ganador valía 10,000 dólares, los miembros del cartel podían comprar el boleto por 12,000 dólares. La razón de esto es que el cartel tenía mucho dinero ilícito y querían una manera de hacerlo parecer legítimo. Así que, cuando cobraban el boleto ganador, recibían un cheque de la lotería de Puerto Rico y lo llevaban al banco para depositarlo. Esto les permitía declarar legalmente sus ganancias en sus impuestos. De esta manera, tenían un registro limpio de dónde provenía su dinero. Cosas muy astutas. De todos modos, este tipo que fue a juicio fue declarado culpable, y el juez lo sentenció a cadena perpetua no solo por este asunto de la lotería, sino también por el contrabando de cocaína y armas. Así que, esto nos lleva al tipo del departamento de informática de la lotería. Él fue uno de los diez arrestados, y parece ser un tipo realmente peligroso. Se le acusó de los cuatro cargos de contrabando de drogas y fraude de lotería, pero llamé a Puerto Rico y hablé con alguien cercano a él, y dijeron que era un buen tipo y que simplemente se metió en la mala compañía. Además de ser informático, también tenía una licencia de piloto privado y le gustaba volar aviones, y los fines de semana, alquilaba aviones para hacer tours y mostrarle la isla a la gente. Bueno, este cartel se enteró de sus aviones y lo contrató para trasladar algunas drogas de una isla a otra. Eventualmente, lo contrataron para hacer más y más viajes para el cartel. Salió bajo fianza mientras los tribunales decidían qué hacer con él. Al principio se declaró no culpable, pero luego volvió al tribunal y cambió su declaración a culpable. El tribunal dijo, bueno, vuelve en cuatro meses y determinaremos tu sentencia. Bueno, en ese plazo de cuatro meses, de alguna manera volvió a involucrarse con el cartel y formó parte de una misión en la que tenía que capturar a alguien y llevarlo a algún lugar, y en esa misión, lo dispararon y lo mataron. La policía encontró 30,000 dólares en su coche después de eso. Este es un final sorprendente para mí. ¿El informático que estaba cambiando los números en la base de datos le dispararon y le mataron al final? Mientras jugar a la lotería en sí es una apuesta, este tipo estaba apostando con su vida. Cuando las apuestas son tan altas, puedes volverte rico o morir en el intento.(OUTRO): [MÚSICA DE CIERRE] Un gran agradecimiento a Owl Stalker, Acechabúhos, Os, por compartir esta historia con nosotros. Ha estado guardando esta historia durante un tiempo, sin contarle a nadie, y estoy emocionado de compartirla con ustedes, porque es la primera vez que se cuenta públicamente. Si te gustan historias como esta, si crees que son valiosas, por favor, considera apoyar el programa. Soy un creador independiente y puedo concentrarme en esto a tiempo completo gracias al apoyo de los oyentes. Si donas al programa, no solo permites que hagamos estas traducciones, sino que también recibirás episodios sin anuncios y exclusivos. Visita patreon.com/darknetdiaries y considera apoyar el programa. Muchas gracias. Este programa es creado por el Dark Linx, Jack Rhysider. Traducido y narrado en español por el King of Sound Armando D. Hernández. Dirigido y producido por la bright firefly Marieta Caballero en el estudio Calavera Sound. La voz de Os fue locutada por Mr. Isi Ignis. El diseño de sonido original fue del Crazy Wolf Andrew Meriwether y la música principal fue creada por el melodix Breakmaster Cylinder. Y si eres programador y tienes frío, prueba a cerrar alguna ventana. Esto es Darknet Diaries en Español. [MÚSICA DE CIERRE TERMINA] [FIN DE LA GRABACIÓN]