KHK

From Hack Story

Konspiradores Hacker Klub (KHK) fue uno de los primeros grupos de hackers españoles, activo al menos en 1994 y 1995, dedicado al phreaking, ingeniería social y hacking, como la mayoría de grupos de aquel entonces, que tocaban un poco de todo. KHK remitía al nombre de la sala donde se reunían, en el restaurante Wendy's de la Puerta del Sol de Madrid: "El salón de los conspiradores". Se habían conocido en la BBS del Demonio, en las quedadas que montaban los usuarios de la misma. Eran 3 madrileños, un vasco, Nethack, y un gallego, Lester, quien entró hacia el final del grupo.

Nos juntamos un pequeño subgrupo apasionado de la informática y las comunicaciones, y un ansia infinita por aprender. Más que un grupo hacker eramos un grupo de amigos, que en realidad nos movíamos bastante individualmente pero compartíamos conocimiento enseñándonos unos a otros. No eramos como los grupos más modernos... no había afan de protagonismo, ni dejar nuestra marca por todas partes, ni hacer daño en ningún sitio.... solo aprender y aprender...^[1]

El grupo tiene el triste honor de contar entre sus filas con el primer detenido por hacking en España: Mave. El 31 de en enero de 1996, la Brigada de Delitos Informáticos de la Policia Nacional irrumpió en la casa del joven, que entonces tenía 19 años. La policía llevaba un tiempo monitorizando el chat donde se reunía KHK, en EFnet, y por las conversaciones habían descubierto en qué ciudad residían. Un día, Mave cometió un grave error: entró en el IRC con una cuenta que contenía su nombre real.

En el sumario estaba señado en circulo rojo y en grande "BINGO!!!!!" donde en el log del irc decía que tenía mi mismo apellido... Empezaron a buscar por el padrón municipal a todos los de mi apellido... y a pincharles el teléfono unos días.. como no había modem, pues al siguiente... hasta que encontraron una línea con módem todas las noches.^[2]

Los cargos contra Mave fueron "interceptación de telecomunicaciones" y "falsedad de identidad". Cuando le dejaron libre, el joven mandó de inmediato un mensaje a KHK, donde avisaba del peligro y explicaba de qué le acusaban:

Me han hecho toda clase de preguntas. Las dos principales vertientes por las que me acusan son la de usar tarjetas de credito en compuserve, usando el buzon de otra persona para recibir las cartas. De esto ultimo, el usar un buzon de otra persona, viene la acusacion de falsa identidad. La otra vertiente es la de haber entrado sin permiso en los ordenadores de la Carlos III, en concreto citaron 'Elrond', 'Ordago', 'Lareal', y 'a01-unix'. De esta vertiente me acusan del delito de 'Interceptación de las comunicaciones'. En este delito han metido la entrada a maquinas de la carlos III, el que yo supuestamente he 'leido' el correo privado de algun usuario, asi como la colocacion de sniffers, mediante el cual podia conseguir 'logins y palabras de paso de otros usuarios' segun sus palabras.^[3]

Era el primer caso de hacking con el que se enfrentaban las fuerzas de la ley españolas, concretamente el recién creado Grupo de Delitos Informáticos del Cuerpo Nacional de Policía, capitaneado por el inspector jefe Carlos García. El sumario, ocupó tres tomos, unas 2.000 páginas.

1995. Intrusión en los sistemas informáticos de la universidad Carlos III de Madrid. Después de nueve meses de compleja investigación, en los que se pusieron trampas técnicas que no funcionaron, se consiguió descubrir a los autores a través de la investigación tradicional, "el olfato policial", dice García.^[4]

En realidad, como sucedía entonces cuando la policía o la guardia civil investigaban algo en Internet, quienes llevaron a cabo el grueso de las pesquisas fueron expertos independientes. En este caso, según Mave, el 90% de la investigación la realizaron técnicos de la Universidad Carlos III, siendo estos quienes descubrieron las intrusiones del grupo y el chat donde se reunía, que monitorizaron. Las pruebas que se presentaron al juez consistieron básicamente en los logs o registros de IRC y -eso sí fue cosa de la policía- grabaciones de las conversaciones telefónicas de Mave. Aunque este temió en un primer momento que también hubiesen pinchado sus llamadas de módem, en realidad no tenían capacidad para reconstruirlas:

Casi todas las pruebas electrónicas, básicamente esnifado de conexiones de red, salieron de la Carlos III. Y el resto fue el teléfono pinchado. Al principio creí que lo tuve un año pinchado pero no, lo hicieron en dos tandas distintas de tiempo... Pero en los tiempos pinchados sacaron mucha información de lo que yo mismo decía o me decían por voz... Con eso construyeron todo el caso.^[5]

En cuanto a las trampas técnicas a las que se refería el inspector Carlos García, Mave recuerda:

Era cómico leer en el sumario las justificaciones de la policía de porque había fallado la trampa, después de múltiples peticiones del juez de justificar porque debía durar más tiempo la interceptación del previsto. La trampa consistía en que habían publicado en el motd de todas las máquinas que entrabamos un "nuevo" modem de alta velocidad, con el tlf que tenía... la línea estaba pinchada y preparada para rastrear las llamadas... estuvieron como 2 meses para montarlo... pero luego no funcionaban las localizaciones de llamadas y no pudieron sacar nada...^[6]

El juicio nunca se realizó. "Mave se comió el marrón y no dio ningún nombre. Consiguió no ir a la cárcel por los pelos pero tuvo que pagar una multa importante"^[7]. Lo confirma Mave:

Fueron casi dos años de espera para el juicio. Al final, lo único que tenían en firme eran algunas confesiones del interrogatorio inicial y accesos a Compuserve de la última época. Hubo un pre-acuerdo a la entrada del juicio, aceptando la pena mínima (sin prisión) y una buena indemnización para la universidad. Me consta que al policía jefe (ya jubilado por lo que sé) no le sentó bien lo del acuerdo...;-)^[8]

Mensaje de Mave

Por su valor documental, reproducimos algunos fragmentos del mensaje que Mave mandó a KHK justo después de su detención:

Hola, soy Mave

Lo que os voy a contar ahora es DE VITAL IMPORTANCIA. VUESTRO FUTURO ESTA EN ****PELIGRO**** MUCHO ****PELIGRO****

Esta ma€ana del dia 31 de Enero de 1996, a las 9 de la ma€ana se ha presentado en mi casa la policia judicial, concretamente de la brigada de delitos informaticos, y me han ** DETENIDO **
(...)

Bueno, he visto cantidad de pruebas ABRUMADORAS, *MILES* Y *MILES* DE MENSAJES DE IRC hablando con toda clase de gente de toda clase de temas, que se remontan por lo que he podido recordar sobre alguna de ellas a mas de 1 a€o y medio hacia atras en el tiempo, tal vez 2 a€os.

Tambien tenian TODAS mis converaciones de voz grabadas desde hace alrededor de 1 a€o quiza algo menos. Conversaciones con toda clase de gente, con otros hackers (vosotros sabreis con todos los que he hablado por voz en el ultimo a€o), con gente del mundo warez, con amigos, con todo el mundo que he hablado...
(...)

Me han preguntado sobre la marcacion de muchos numeros 900 aleatoriamente.

Me han preguntado sobre si conocia las identidades de algunas de las personas que salen en los log (principalmente de irc). Simplemente he contestado que solo conozco los alias, que no conozco los nombre reales. Despues de esto, afirmaron que no me preocupase, que ya los tenian ellos identificados.Lester de ti tienen el quijote vi tu expediente en un archivador aparte con letras grandes.

Al principio de la declaracion me han preguntado en distintas preguntas, que donde encontre los telefonos de acceso a la carlos III, y donde consegui los logins y passwords de entrada a alguna maquina. Mi respuesta ha sido que los encontre en la 'red' segun figura en la declaracion, aunque yo dije que los encontre por ahi, que no recuerdo exactamente donde.
(...)

Tienen mogollon de logs de irc, interceptados a nivel router segun he podido ver. Los logs que yo he podido ver, estaban hechos en la carlos iii, pero tenian muchisimos mas, que casi con total seguridad segun he podido deducir estaban hechos en otros lugares.

Tambien me preguntaron literalmente 'šQue es lo que hay en Finlandia?'. Aqui ya no se que pensar, si es que son subnormales o es que no tienen ni puta idea del tema. Jamas he tocado ninguna maquina de finlandia, ni he hablado con absolutamente nadie de hackear en Finlandia. Como todo el mundo sabe, en finlandia lo unico que hay es el remailer anonimo de anon.penet.fi.
(...)

Por lo que he conseguido averiguar estan investigando a otras personas, no me han dicho ni nombres ni alias... creo imaginar quienes pueden ser, y estoy seguro que si estais leyendo esto sabreis quienes soys...

Un consejo, *DESTRUID* *ABSOLUTAMENTE* *TODO* tanto en forma datos como de papel que podais tener que os pueda inculpar en algo... Si teneis algun programa comercial, *DESTRUIDLO* (Sobreescribirlo con 0 o similar, no lo borreis, para que no se pueda recuperar)... Y no useis en *ABSOLUTO* en telefono de voz... usad cabinas, PUBLICAS (no las de dentro de las universidades y similares) llamando a numeros a los que tengais ABSOLUTA certeza de que no estan pinchados...
(...)

Durante cierto tiempo, hace bastante tiempo, estuve sospechando (y ahora me doy cuenta que tenia toda la razon y no era ninguna paranoia) que tenia la linea pinchada. Los sintomas que se detectaban, el mas gordo fue, una llamada de cierta persona que no habia forma de cortarla, colgase yo, o colgase la persona que originaba la llamada, la linea seguia abierta. Alcabo de una media hora o asi, la linea recupero su estado 'normal'. Otro sintoma, fue la existencia de FALSOS RINGS, es decir el telefono sonaba, descolgabas y te daba linea. Es igual que los RING BACKS. Otro sintoma bastante delatador, fue la aparicion de RUIDO en las llamadas por modem a los que nunca antes habia tenido NINGUN problema de ruido. Todo esto estuvo ocurriendo durante un periodo aproximado de 1 mes. Despues desaparecieron todas estas extra€ezas, y el telefono se comportaba de lo mas normal. Muchisimas veces, intente hacerle PERRERIAS a la linea para detectar posibiles pinchazos, es decir microcuelgues, cuelges muy rapidos de la linea, cortar una llamada de golpe y ver si volvia a dar linea o seguia abierta la comunicacion (...). En ningun momento de estos test pude detectar ninguna anomalia. Sin embargo, por las transcripciones de conversaciones de voz que he visto, estas se realizaron en la epoca que hacia esas comprobaciones.

Sobre la linea contar una cosa que si que me parecio MUY CURIOSA, y que ahora estoy seguro de que es la prueba definitiva para detectar la linea pinchada, al menos con el metodo que usaron conmigo. (...) Siempre habia leido que el voltaje de la linea es de 48 voltios cuando esta colgado, y de 9-12 voltios cuando esta descolgado. Pues bien, mi linea al descolgarla tenia 27 voltios, en vez de los entre 9 y 12 que deberia esperar. *COMPROBAD* *AHORA* *MISMO* *EL* *VOLTAJE* *DE* *VUESTRA* *LINEA*.

Despues de unas 3 o 4 horas de declaracion, me han dejado en libertad.
(...)

Ah, otra cosa. AVISO A TODA LA GENTE DEL WAREZ. Saben quienes son, que hacen, como lo hacen, etc. Todos aquellos que venden warez, QUE TENGAN MUCHISIMO CUIDADO. Yo de ellos destruiria todo el WAREZ (*DESTRUIR*), por lo que pueda pasar...

Cualquier comunicacion que hagais sobre este tema, hacedla de forma electronica, no useis ningun canal de voz, y HACEDLO TODO **ENCRIPTADO** con PGP, usando versiones *************** ANTERIORES ************* a la 2.6ui. En principio la 2.6ui es segura. Lo de la version, es por la rumoreada backdoor de las versiones > 2.6 que obligo a instalar a zimmerman el fbi/cia para poder desencriptar facilmente los mensajes. Despues de cierto comentario que ha hecho uno de los policias, estoy casi ABSOLUTAMENTE seguro de que esa backdoor existe y es TOTALMENTE CIERTA.
(...)

Muchisimas Gracias, y tened MUCHO cuidado.
Mave.^[9]

Notas

1. ↑ Mave, en conversación privada
2. ↑ Mave, en conversación privada
3. ↑ Mave, mensaje privado a KHK (01-96)
4. ↑ Entrevista a Carlos García, inspector jefe del Grupo de Delitos Informáticos del Cuerpo Nacional de Policía. Mercè Molist (1998)
5. ↑ Mave, en conversación privada
6. ↑ Mave, en conversación privada
7. ↑ Lester, en conversación privada
8. ↑ Mave, en conversación privada
9. ↑ Mave, mensaje privado a KHK