“Una empresa de ciberseguridad chilena alertó (de la vulnerabilidad) en agosto de 2021 (…) El EMCO eligió dejarlo abierto”.
La explicación corresponde al grupo hacktivista Guacamaya, colectivo que filtró más de 400 mil correos reservados del Estado Mayor Conjunto (EMCO), organismo asesor del Ministerio de Defensa en materia de Fuerzas Armadas.
A través de un correo-respuesta enviado a la Unidad de Investigación de BioBioChile, el grupo no sólo confirma que el ataque informático ocurrió en mayo de este año, sino que también revela un actuar negligente del EMCO. Esto, al no tomar acciones concretas frente a una vulnerabilidad detectada e informada a las instituciones públicas casi un año antes de hackeo.
Antecedentes recabados por este medio, incluso, apuntan a una licitación fallida de diciembre de 2021 para revisar y reparar los servidores de correos que más tarde serían objeto de los ciber-atacantes. El concurso público nunca vio la luz: debió ser revocado apenas días después por problemas “presupuestarios”.
Alertas ¿ignoradas?
Según información recopilada por BBCL Investiga, la historia del hackeo se remonta a mediados de 2021, cuando a la cabeza del EMCO se encontraba el actual comandante en jefe del Ejército, Javier Iturriaga.
Fue en al menos dos oportunidades que diferentes entidades advirtieron de una vulnerabilidad en los servidores de correos Microsoft Exchange, mismo sistema que emplea el EMCO para alojar sus comunicaciones vía e-mail.
La primera alerta data del 13 de julio de ese año, cuando el Equipo de Respuesta ante Emergencias Informáticas (CSIRT), dependiente del Ministerio del Interior, notificó una serie de vulnerabilidades en softwares, entre ellos, Exchange.
El riesgo era “alto”, según reza la alerta emitida por el organismo gubernamental. En buenas cuentas, llamaban a una acción rápida de parte de las reparticiones públicas, para que instalaran las actualizaciones de seguridad (o “parches”) correspondientes. Todo ello, con el propósito de evitar ataques que justamente pudieran explotar esa vulnerabilidad.
Lo propio ocurrió casi un mes exacto después. En agosto de 2021, la empresa de ciberseguridad CronUp avisó de la “explotación masiva” de “un fallo de seguridad crítico” en servidores Exchange que permitía la ejecución remota de códigos.
Aquí, también, la firma llamó a las entidades estatales a instalar los parches. En la oportunidad, desde CronUp detallaron que en Chile “90 servidores Microsoft Exchange aún son vulnerables (…) lo que podría permitir a un atacante lograr el acceso inicial a la red corporativa”.
“Deben parchar lo más pronto posible”, se leía en el aviso.
Una licitación fallida
Recién casi cinco meses después de la primera alerta, el EMCO pareciera haber tomado cartas en el asunto. A inicios de diciembre de ese mismo año, cuando Defensa era liderado por el ministro Baldo Prokurica -bajo el gobierno de Sebastián Piñera- el Estado Mayor Conjunto llamó a una licitación que podría haber cambiado el destino de los correos.
Según la ficha del concurso público -analizada por la Unidad de Investigación de BioBioChile-, la idea de los trabajos era precisamente mantener y reparar los servidores de correos Exchange.
Las labores tendrían lugar en las oficinas del EMCO. En el piso 8, al menos cuatro servidores físicos esperaban la mantención. Otros dos, pero virtuales, también figuraban dentro de las piezas a supervisar.
Para ello, el organismo puso sobre la mesa 4.500 dólares, lo que a la fecha equivale a casi 4,5 millones de pesos chilenos. Sin embargo, todo quedó en nada menos de dos semanas después: el organismo asesor del Ministerio de Defensa decidió revocar el proceso.
A través de una resolución -fechada el 15 de diciembre de 2021 y firmada por el director de apoyo general, coronel Mario Jorquera Solís- el Estado Mayor Conjunto dio por finalizado el llamado a licitación.
En el escrito de tres páginas, argumentaron que “en los plazos ofertados no se alcanza a ejecutar el gasto presupuestario antes del 31 de diciembre de 2021”.
Es decir, un problema burocrático impidió -al menos en esa oportunidad- la mantención de los servidores. Cinco meses después, el grupo Guacamaya vulneró los sistemas de seguridad del EMCO y logró descargar los más de 400 mil correos del organismo. Una crónica de un hackeo anunciado.
Requeridos por eventuales responsabilidades del comandante en jefe del Ejército, Javier Iturriaga, desde la institución castrense declinaron emitir declaraciones. Argumentaron que el hackeo es materia del EMCO y que existen investigaciones en curso. De igual forma, este medio contactó al Ministerio de Defensa para conocer si posterior a la revocación de la licitación se ejecutó algún tipo de mantención a los equipos. Hasta el cierre de esta edición no hubo respuesta.
Lea el documento:
Hablan los hackers
La Unidad de Investigación de BioBioChile conversó vía e-mail con el grupo Guacamaya, responsables de la filtración de 10 Terabyte en correos de fuerzas armadas y policías de al menos cinco países latinoamericanos. Entre ellos, figuran Colombia, El Salvador y, por supuesto, Chile.
En su respuesta, los hacktivistas confirman que el ataque se produjo entre el 7 y 16 de mayo de este año. En los días posteriores, aseguran, el contenido fue puesto a disposición del sitio web que finalmente decidió liberarlos a la luz pública el 19 de septiembre recién pasado.
El colectivo cuenta que detectaron una falla de seguridad en el puerto 443, lo que significó un “pase libre” para la descarga de los correos. Algo que fue confirmado por fuentes conocedoras de la materia a BioBioChile.
Así las cosas, el grupo afirma no ver la falla como una vulnerabilidad, sino como “una alternativa más operativa a la Ley de Transparencia, para cumplir con el artículo 8 de nuestra inmejorable Constitución (Política de Chile)”.
“Entendemos que así también es la interpretación del Ejército”, ironizan, al dejar entrever un actuar negligente del Estado Mayor Conjunto. Esto, considerando las alertas emitidas por distintos organismos para cerrar las brechas de seguridad.
Con todo, “el EMCO eligió dejarlo abierto”, aseguran.
Respecto a las repercusiones del hackeo, indican que la cobertura mediática les resulta “confusa”, al señalar que “la labor del periodismo es informar al pueblo”.
“Vemos que sólo algunos de ellos han hecho esto: informar sobre el contenido de los correos. En general, los medios sólo se han preocupado y hecho énfasis en cuestiones de ‘¿cómo es posible que el pueblo se informe de las operaciones de su fuerza armada?’ y ‘¿qué medidas se puede tomar para que esto no se vuelva a ocurrir?"”, critican.
“Los medios de derecha culpando a la ministra y al Presidente; los de izquierda a los mandos del Ejército”, reflexionan.