Operación Millenium

From Hack Story

La Guardia Civil bautizó como Operación Millenium a la detención de 55 personas en 16 provincias españolas, en enero del 2000, por presunta utilización fraudulenta de números de teléfono gratuitos 900. A través de estos números se conectarían a Internet, una práctica frecuente en el "underground".

La utilización de líneas 900 ajenas, cargando el coste a las empresas propietarias, es un hecho bien conocido y cuyo origen se remonta años atrás.^[1]

Entre las empresas denunciantes destacaban Microsoft Ibérica, Toshiba y Novartis. Según las mismas, el fraude alcanzaría la cifra de más de 50.000 pesetas por persona (menos de esta cantidad sería estafa, un delito menor, no fraude) y las llamadas se habrían hecho desde 200 números de teléfono distintos.

La investigación, encargada por la Fiscalía del Juzgado número 1 de Majadahonda y llevada a cabo por el Grupo de Delitos Telemáticos de la Guardia Civil, empezó en marzo de 1999, tras la detención en Madrid de una persona que hacía compras en Internet con tarjetas de crédito de otras personas. Según los investigadores, esta persona pertenecía a un grupo de phreakers llamado COM 30, dedicado a diversos tipos de fraudes telefónicos.

Gracias a la información proporcionada por el detenido, arranca la operación con el fin de desmantelar al grupo "COM 30", quienes supuestamente facilitaban los números de tarjetas de crédito, de líneas 900 para conectar a Internet, y se dedicaban también a la clonación de tarjetas de móviles.^[2]

Tras casi un año de investigación, los investigadores localizaron a los presuntos cabecillas de COM 30, _X_ y Danko, residentes en Alicante y Córdoba respectivamente. Estas dos personas habrían proporcionado a otros internautas los números de tarjetas de prepago pertenecientes a terceras personas, así como instrucciones precisas para conectar con la red a través de los números 900. Pero lo que la Guardia Civil calificó de "descubrimiento de una de las redes más importantes de defraudadores en nuevas tecnologías", no era en realidad un grupo organizado.

Hemos podido constatar que los números 900 motivos de la investigación estaban al alcance en diversos foros, sin necesidad de pertenecer a un grupo determinado para acceder a ellos. Parece claro que no existía un grupo organizado tan voluminoso y que este y otros aspectos sobre la operación se han podido sobredimensionar en los diferentes comunicados.^[3]

Efectivamente, la mayoría de acusados, estudiantes de Informática o Telecomunicaciones, aseguraron no tener relación con COM 30 y haber encontrado los números en páginas de Internet. Estos números se conseguían probando uno a uno, usualmente de forma automatizada, números de teléfono hasta encontrar los gratuitos^[4]:

La utilización fraudulenta de los números 900 (en los que el coste la llamada corre a cargo del dueño del número y no de la persona que efectúa la comunicación) eran un secreto a voces en Internet, donde se pueden encontrar numerosas listas de dichos dígitos para que los usuarios los utilicen a su libre albedrío. Para localizar estos teléfonos, se utiliza un sistema de barrido que prueba los números hasta encontrar un módem que responda a la llamada y esté conectado con la red Internet.^[5]

Otros acusados los consiguieron en canales de chat.

El número descubierto se suele utilizar durante un tiempo, como si llamase al nodo más próximo de Infovía, hasta que encuentra otro o, por su poca discreción, empieza a usarlo cada vez más gente. El número pronto corre por los chats de Internet y, cuando la factura es considerable, la empresa descubre el fraude telefónico.^[6]

Cuatro años después, la mayoría de sentencias fueron absolutorias^[7]. En bastantes casos, las denuncias ni siquiera prosperaron, por defecto de forma: bien por mala redacción o porque la cantidad de dinero que supuestamente habían gastado no llegaba a las 50.000 pesetas y por tanto no era fraude.

_X_ sí fue declarado culpable, pero no por los cargos de phreaking sino por un delito menor. Según el abogado Carlos Sánchez Almeida, quien defendió a tres detenidos, entre ellos a _X_, la Operación Millenium significó un jarro de agua fría para el "underground" hispano:

Fue la operación policial que generó más paranoia, mucho más que el caso !Hispahack, por el número de implicados y porque todo el "under" usaba estos números.^[8]

A partir de estos hechos, algunos grupos de hackers abandonaron su actividad y otros restringieron mucho la admisión de nuevos miembros, como recuerda uCaLu, de Undersec, porque se sospechaba que había habido un delator:

Después de la operación Milenium volvió a entrar el pánico en los grupos nacionales de hack/phreak/virus ... y se hermetizo de nuevo todo, ya que muchos de nosotros pensábamos que el descubrimiento de los patanes de la Guardia Civil no habían sido por ser técnicamente buenos... sino por chivatazos. Por lo tanto se volvió a la época en la que era muy difícil formar parte de grupos de Hack para los que empezaban en ese momento.^[9]

La operación Millenium recabó además muchas críticas por considerarse una operación de imagen, un día antes de la celebración de las primeras Jornadas sobre Delitos Cibernéticos de la Guardia Civil, como explica Sánchez Almeida:

Fue una operación política montada por Mayor Oreja porque coincidía con unas jornadas de seguridad en Madrid y la campaña electoral en marzo de 2000. Aprovecharon esta operación para demostrar eficacia.^[10]

Notas

1. ↑ Operación "Millenium": las dos caras de la moneda. Bernardo Quintero. Hispasec (17/01/00)
2. ↑ Operación "Millenium": las dos caras de la moneda. Bernardo Quintero. Hispasec (17/01/00)
3. ↑ Operación "Millenium": las dos caras de la moneda. Bernardo Quintero. Hispasec (17/01/00)
4. ↑ Líneas 900. Jeck's page (1998)
5. ↑ La Guardia Civil detiene a un centenar de personas por utilización fraudulenta de "números 900". Olalla Cernuda. "El Mundo" (18/01/00)
6. ↑ Detenidos cien internautas de 16 provincias por una estafa informática. Mercè Molist. El País (19/01/00)
7. ↑ Así terminan las redadas de hackers. HackHispano (05/04/04)
8. ↑ Carlos Sanchez Almeida, en conversación privada
9. ↑ uCaLu, en conversación privada
10. ↑ Carlos Sánchez Almeida, en conversación privada

Enlaces externos

• Caso Millenium. Delitosinformaticos.com (07/03/05)
• Tercer absuelto del 'Caso Millenium', que causó una gran redada en el año 2000. "El Mundo" (01/03/05)
• Caso Millenium: ¿nuestro "Hacker Crackdown"?. Kriptópolis.
• Caso Millenium (1): no concurre prueba concreta del proceso de defraudación. Almeida Abogados Asociados (14-02-05)
• Caso Millenium (2): la titularidad de una línea no presupone autoría delictiva. Almeida Abogados Asociados (30-03-04)
• Caso Millenium (3): absolución por presunto phreaking. Almeida Abogados Asociados (30-10-03)