martes, 24 de diciembre de 2013

El experto informático de la Generalitat: "Me ficharon para tener capacidad de intrusión"

GABAS DESTAPÓ EL ROBO DE DATOS AL GOVERN

Albert Gabàs, en una charla en la Universidad de Jaén. (EFE)



Albert Gabàs era casi un desconocido para el gran público hasta hace pocas semanas. Ahora, está en el centro de una fuerte polémica porque su nombre se ha relacionado en círculos políticos con la filtración de determinados documentos confidenciales del Gobierno catalán, circunstancia que él niega vehementemente. Aunque desde la cúpula del Gobierno de Mas sólo aparece su nombre cuando se habla off the record, sí que se insinúa que “un exasesor del Cesicat” puede estar detrás de las filtraciones que han producido los últimos grandes escándalos del Gobierno de Artur Mas. Algún medio de comunicación ha llegado incluso a publicar su nombre como el filtrador, citando fuentes de la Generalitat.

Entre otras cosas, se apunta hacia él al hablar de los informes de seguimientos a activistas sociales que han ido apareciendo los últimos meses. Incluso se le achacan las filtraciones y la autoría de los informes para la creación de una Agencia Nacional de Seguridad (ANS), es decir, los estudios para crear el CNI catalán, desvelados por El Confidencial. Él niega todas estas insinuaciones. “Yo trabajé para el Cesicat desde septiembre a diciembre de 2012, aproximadamente. Y era un colaborador externo. Iba sólo algunos días y no tenía acceso a los recursos de información ni a lo que el resto de personal hacía; tenía un encargo concreto y mi relación era directa con dirección, no me relacionaba con el personal. Además, por lo que veo en la prensa, muchos de estos informes fueron realizados meses antes de llegar yo al Cesicat, por lo que no pude hacerlos. De hecho, los documentos confidenciales comienzan a filtrarse tras la muerte del empresarioBenítez a manos de los Mossos d’Esquadra y es Anonymus quien reivindica su filtración. En los correos hechos públicos ahora, después de que se colmase el vaso, con el que rompo mi silencio y compromiso de secreto, queda clara la actividad de Anonymous. Si alguien del Gobierno me acusa a mí, puede estar seguro de que me querellaré”, manifiesta Gabàs a este diario.

Gabàs señala también que “nunca he tenido acceso a los sistemas ni recursos donde estaban esos documentos, pero además tampoco tuve ni ocasión de acceder, ya que yo ni estaba en la red del Cesicat ni en la de la Generalitat. Me conectaba a internet con mi equipo desde mi dispositivo móvil. Como eso lo saben bien, tienen que injuriar y calumniar en medios. Yo puedo demostrar en un juzgado que nunca he tenido acceso a lo que se ha filtrado”.

Creador del programa Híspalis

¿Pero quién es Albert Gabàs? El Gobierno catalán ha ido a dar con un hueso duro de roer. En los años 90, se decía que estaba en la cúpula de Hispahack, de donde pasó luego al Chaos Computer Club (CCC).

Virtuoso del ordenador, el “asesor externo” del Cesicat (él sostiene que a quien asesoraba era al director general de Seguridad de la Información,Carles Flamerich), ha colaborado no sólo con varios cuerpos policiales, sino que fue el creador del programa Híspalis de la Guardia Civil. Diseñado en el 2005, este programa rastrea las redes P2P para buscar imágenes o vídeos de pedofilia y marcó un hito en la historia de la persecución de este delito a través de la red.

En el 2003, asesoró también en ciberseguridad a los World Police&Fire Games. Ese mismo año, impartió clases de Tratamiento de la Información a inspectores y en el 2007 fue profesor en un curso de delitos informáticos de los Mossos d’Esquadra. Desde el 2005 colabora habitualmente con la Guardia Civil. En el 2008 realizó una investigación para la consejería de Sanidad de Cataluña que culminó con una operación pionera en España de la policía autonómica contra la venta y promoción de productos farmacéuticos por internet.

En su historial cabe reseñar también el descubrimiento de un agujero en la seguridad de la Línea Abierta de La Caixa que permitía conocer saldos, movimientos, recibos o incluso puntos estrella y que la entidad se apresuró a resolver con su colaboración. Y también fue la persona que descubrió, hace un año, el masivo robo de credenciales de la Generalitat de Cataluña por parte de hackers de Chequia y de Rusia.

Su labor en el Gobierno, sin embargo, no deja de ser curiosa. “Me contrataron para dotar al Cesicat de capacidades de intrusión”, explica. Para quien no lo sepa, en lenguaje cibernético una intrusión es una penetración en un sistema. Él niega que eso se llegase a producir. “Es que estamos hablando de elementos o capacidades de doble uso. Por ejemplo, antes de la guerra de Irak, ese país hizo un gran acopio de Playstations, porque no tenía capacidad para comprar ordenadores. Con ellas, podía realizar simulaciones militares. O una persona normal puede utilizar un detergente para lavar mientras que un terrorista lo puede utilizar para fabricar bombas. Eso es capacidad de doble uso. Todo depende de para qué se utilice”, explica Gabàs a El Confidencial.

Los servicios de ‘pentesting’

Su labor, afirma, era desarrollar servicios de pentesting, tal y como recoge el pliego oficial de prescripciones técnicas del propio Cesicat, que agrupa estas actividades en un capítulo denominado “Bloc 2.5”. El pentesting proviene de la contracción, en lengua inglesa, de penetration test, es decir, prueba de penetración. Su objetivo es, según el pliego citado, “garantizar la inviolabilidad de los diferentes sistemas TIC y determinar el alcance y el riesgo de intrusión ante ataques reales simulados”.

En la fase de postejecución, se preveían “pruebas de robustez enfocadas al usuario final”, entre las que se figuran “suplantación de identidad, phishingy otras relacionadas con la ingeniería social para determinar la susceptibilidad de los usuarios de correo electrónico a ataques y evaluar la total seguridad de sus sistemas, determinar la exposición al lado del cliente y si puede desencadenar en una violación a gran escala de los servidores u servicios desde el interior de la organización”.

El texto señala también que “los ataques al usuario final se dirigen (pero no se limitan) a navegadores web, clientes de correo electrónico, mensajería instantánea, reproductores multimedia y principalmente sistemas operativos Windows”.

Junto a estas intrusiones en sistemas, también se debían desarrollar otras similares en móviles. “Con técnicas que se utilizan en el mundo real paratomar el control de un dispositivo, obtener información del usuario o el dispositivo en sí o instalar una agente de seguridad”. Al margen, debería identificar las debilidades de los sistemas y protegerlos e incluso generar know-how para “ir un paso por delante de posibles atacantes” mientras se desarrollan “nuevas tecnologías de robustez, herramientas y técnicas”.

Tomàs RoySu labor en el Cesicat acabó tras varios enfrentamientos profesionales con el director del organismo, Tomàs Roy. “Un día que aparecí por las dependencias del Cesicat, vi en la pantalla de un ordenador un informe personal, uno de esos seguimientos que ahora dan tanto que hablar. Y vi que el autor de allí enviaba informes sin contraseña y sin ninguna medida de seguridad a sus superiores y ‘clientes’. Incluso con los logotipos del Cesicat. ‘¿Pero qué estáis haciendo?, ¿eso lo sabe el director general?, ¿cómo podéis justificar informes de este calibre?’, le dije a Roy. De hecho, vi varias veces que se hacían informes y en cada reunión que tenía con el director general le advertía de lo que pasaba, porque un informe así en manos inexpertas es como una pistola en manos de un novato. Hasta que un día tuvimos la bronca gorda, que todo el mundo en el centro conoce. Entonces le pedí a Roy el informe que había visto para enviárselo al director general, pero me dijo que yo no tenía acceso a eso porque era información confidencial”. Ese enfrentamiento, a grito pelado, acabó de minar su relación. “Fueron una serie de situaciones ‘impresentables' y decidí romper mi relación con el Cesicat”.

Mucho nerviosismo

Lo que sí asegura Gabàs es que “en la corta etapa que estuve allí, había un tremendo nerviosismo y paranoia a que se pudiera vincular el Cesicat a la Agencia Nacional de Seguridad. Además, alguien del CatCert [agencia de certificación de la Generalitat, que también sería absorbida por la ANS] insinuó en Twitter que se podía estar creando la Agencia y que el CatCert podría pasar dentro de ella. Pues bien, eso desencadenó una investigación para conocer quién había hecho esa filtración. Más que nada lo sé porque esa investigación la hice yo. Y se descubrió que era un empleado del CatCert".

Carles Flamerich Es cierto, sin embargo, que Gabàs alertó al director general de Seguridad de la Información, Carles Flamerich, de que se estaban “haciendo cosas extrañas por gente no confiable”. “Los cambios a nivel organizativo, al final no se realizaron, aduciendo recorte de fondos para no cambiar las cosas. Y visto que Flamerich no escuchaba comencé a informar a Felip Puig, consejero de Empresa y Empleo, de quien depende Cesicat. Incluso voy a verlo en abril de este año, le explico las cosas que se estaban haciendo, a mi entender, mal, el derroche de dinero que se produce en el Cesicat porque no hay un control serio de la situación y le aviso del robo de credenciales de la Generalitat. Le entrego incluso un voluminoso dosier, que no quiso recoger. Paralelamente, doy parte también a múltiples altos cargos. Nadie responde. Y eso provoca que a mediados de año también les comunique mis preocupaciones a los portavoces de los grupos parlamentarios”.

Mientras tanto, Gabàs detecta que sus correos enviados a los mailscorporativos de la Generalitat y especialmente al consejero Puig son interceptados “y leídos por terceros, receptores no legítimos. Eso es muy grave. Exijo explicaciones a Gobernación, que no me las da, y pongo una denuncia en el juzgado”. Esa denuncia, que expone los hechos y apunta a Carles Flamerich y a otro empleado del Cesicat, Xavier Panadero, que leían los mails que Gabàs enviaba, fue archivada el 8 de noviembre por el juzgado, pero ha sido recurrida y ahora el tema está en la Audiencia.

Fuentes de la Generalitat señalaron a este diario que la interceptación de los correos no era tal, sino que se enviaba una copia a un archivo con la anuencia de los consejeros. “Enviaba constantemente mails, algunos realmente amenazantes, por lo que se determinó estudiar con lupa los correos, cosa que los consejeros, por su propia agenda, no podían hacer”, explican estas fuentes.

Gabàs reconoce que no envió ninguna amenaza a nadie. “Lo que denunciaba es una situación y una alta inseguridad como consecuencia de la misma. No proferí ninguna amenaza, aunque es posible que en algún correo haya incluido algún término calificativo poco simpático. Si consideran que lancé alguna amenaza, que me denuncien a mí. Yo he querido solucionar siempre el tema a nivel interno. Además, en esa etapa yo no sólo era un ciudadano normal o un profesional, sino que era militante de CDC, por lo que también envié mis escritos a líderes del partido, no sólo a dirigentes del Gobierno”.

Lo cierto, no obstante, es que su pleito contra el Gobierno catalán sigue adelante. Y mientras hay quien intenta vincularlo a las filtraciones de documentos confidenciales que ponen contra las cuerdas al Ejecutivo, él trabaja con su consultora para grandes multinacionales tanto desarrollandosoftware como blindando sus redes telemáticas.

“Mi reputación es a nivel internacional y no me la podrán quitar. En cambio, se ha demostrado que las vulnerabilidades de la Generalitat son casi infinitas y a mí me preocupaba ver a la Generalitat, a su información, en llamas”, zanja.

No hay comentarios:

Publicar un comentario