El falangista aficionado a los videojuegos que se metió a hacker

«En el fondo, D.V.G. quería ser encontrado”. Es la conclusión de uno de los peritos de la organización sin ánimo de lucro Nodo50 que ha trabajado en el informe técnico que describe el modus operandi de este joven de 19 años, detenido el 24 de octubre por la Policía Nacional como presunto responsable de los ataques informáticos a varios medios de comunicación digitales desde el pasado 12 de octubre. Entre éstos, Kaos en la Red, Diagonal, El Plural, Infolibre y Periodismo Humano.

Tras varios días de rumores, la noticia de la detención se ha hecho pública durante la mañana de este miércoles. Pero sólo era cuestión de tiempo que se descubriera su identidad. Desde el principio, D.V.G., residente en una urbanización de Torrevieja (Alicante) y militante de Falange Española, mandó muchas señales que han permitido descubrir su IP.

A pesar de haber logrado causar un gran daño a los medios atacados y de mostrar habilidades técnicas suficientes para bloquear las webs afectadas durante varias horas a lo largo de distintos días, el joven cometió varias imprudencias. Para empezar, no se limitó a enviar anónimos a las víctimas de sus ataques desde la cuenta pandabear77@outlook.com, sino que además se arriesgó a chatear con algunas de ellas, como los periodistas de Diagonal, según han confirmado fuentes de este medio a La Marea.

Asimismo, pocas horas después de efectuar el que presuntamente fue el primero de los ataques, el sufrido por la web de contrainformación Kaos en la Red el 12 de octubre, Día de la Hispanidad, el detenido creó presuntamente varios perfiles en Twitter desde los que reivindicó sus acciones. A través de ellos, se comunicó directamente con Nodo50, el proveedor de servicios de internet donde están alojados Kaos en la Red y Diagonal, entre otros medios.

Las imágenes escogidas para el perfil de Comando de Asalto #7 (@NacCiberCom7) recuerdan la estética de los videojuegos, un mundo que el detenido conoce bien desde hace, al menos, cuatro años. En estos círculos, algunos jugadores on line se deshacen de sus rivales mediante un booter, una aplicación que permite darles una «patada con la bota –boot en inglés-» y echarles de la partida, explica un experto. Para ello, recurren a empresas que no controlan qué tipo de actividades llevan a cabo sus usuarios. Algunos servidores albergan pornografía infantil, actividades mafiosas y usuarios que activan ordenadores zombies para orquestar ataques DDoS (denegación de servicio distribuida) o, simplemente, para amañar partidas on line.

Imagen cambiante

Inicialmente, el avatar de@NacCiberCom7 incluía la imagen de un militar sobre una bandera estadounidense, pero pronto la cambió por la del presidente ruso, Vladimir Putin, e incluso por la de sí mismo, según declaró a Nodo50. Un miembro de esta asociación le retó a probar su identidad mediante una fotografía y el aludido llegó a colgarla en el Twitter con el siguiente mensaje: “Os mando un saludo desde la oficina a todos los chicos y chicas de #ataquenodo50”.

D.V.G. también mostró a Nodo50 la imagen de varios carnets suyos, entre éstos su DNI y su carnet de Falange Española. Entre la información pública que ha exhibido en los últimos años en las redes sociales e internet figuran comentarios sobre este partido, y también sobre Otto Strasser, un nazi que se definía como más radical que Adolf Hitler y que destacó por su anticapitalismo. En la mayoría de los casos, D.V.G. incluye el número 7 en las distintas identificaciones que usa.

Una empresa holandesa

En el caso de los ataques a las webs alojadas en Nodo50, este proveedor ha podido rastrear el tráfico de los ataques. De ese modo, ha podido “determinar que el atacante estaba lanzando los ataques desde Ecatel, un proveedor de alojamiento en los Países Bajos. Nuestras simulaciones de laboratorio indican que el atacante podría generar los ataques con el uso de tres servidores dedicados alojados en Ecatel”, una empresa ubicada en Amsterdam.

A la espera de publicar el informe definitivo, Nodo50 ya ha adelantado que, gracias a las muestras obtenidas de los ataques, han podido “localizar un anuncio en un foro de Internet donde una persona de buyddos.com proporciona instrucciones detalladas para la implementación de ataques basándose en el uso de servidores o servicios alojados en Ecatel”.

“Hay que desmitificar la capacidad técnica de esta persona”, dice el perito consultado por La Marea, refiriéndose a D.V.G. En este sentido, asegura que no se necesita una gran inversión para controlar 35.000 máquinas que se activen para colapsar una web e invisibilizarla, sino que basta con encontrar la infraestructura adecuada, saber cómo amplificar el efecto rebote sobre la web atacada y contratar el servicio de un proveedor que no ejerza ningún control sobre sus usuarios y les permita, por ejemplo, falsear las cabeceras de los remitentes. En este sentido, denuncia la impunidad con que suelen actuar quienes atacan a la libertad de expresión bloqueando webs.

Tras localizar la procedencia del tráfico que atacó a las webs alojadas en Nodo50, esta organización contactó con su proveedor, la empresa sueca Bahnhof, que se dio a conocer por haber albergado la página de Wikileaks. Este servidor contactó con Ecatel para denunciar el desmesurado e irregular tráfico procedente desde sus máquinas. La respuesta que llegó desde la empresa holandesa fue escueta. Esencialmente, se limitó a admitir que se había producido un «problema»: “Hello! Problem should be solved by now”.

A menudo, este tipo de ataques se resuelve de ese modo, sin grandes explicaciones. Normalmente, no se puede probar que haya intención del proveedor en permitir este tipo de actividad dentro de su modelo de negocio, sino que se limita a admitir que alguno de sus usuarios ha hecho un mal uso del servicio, algo por lo cual la empresa proveedora no se hace responsable.

La Marea está editada por una cooperativa de lectores y trabajadores
Suscríbete aquí a nuestra revista mensual para ayudarnos a hacer sostenible el proyecto