“Quién quiera acceso a los sistemas que usan los hospitales con acceso a buscar pacientes que entrega número, email, domicilio actual, historial clínico @germanois para más info puedes buscar a todos los chilenos menores o mayores”.
Ese fue el mensaje que “Rossy” envió al canal de Rutify en Telegram el 25 de abril recién pasado. Algunos pensaron que podría tratarse de una amenaza vacía, pero se cumplió. Un par de días más tarde la página web de Rutify —que hasta ahí era un “rutificador” más dando vueltas en internet— comenzó a exhibir datos médicos y de contacto de usuarios del sistema público de salud, incluyendo a menores de edad.
Después de cerca de 48 horas funcionando con algunas intermitencias, finalmente la página fue bajada a la fuerza. No por acción de las autoridades o policías, sino que como consecuencia del trabajo coordinado entre varios miembros de la comunidad de hackers de Chile.
La Unidad de Investigación de Bío Bío entrevistó a dos de los participantes de la operación de contraofensiva, quienes detallaron cómo lograron averiguar quiénes estaban detrás de la plataforma y presionar para conseguir su objetivo.
Mr. H, la leyenda
NonStraps es el seudónimo de uno de los hackers, quien se autodefine como de ‘sombrero gris’ (grey hat). Es decir, que actúa en una zona ética intermedia: entra en sistemas informáticos sin permiso, pero con el objetivo de buscar fallos de seguridad para reportarlos.
Desde el otro lado de la pantalla, relata que todo partió porque varias personas dentro de la comunidad hacker sintieron que lo que estaba haciendo Rutify no representaba el hacktivismo chileno.
“Ellos se burlaban de la gente, exponían datos sensibles y no había ningún propósito detrás más que causar daño. Para nosotros, el hacking tiene que ver con exponer problemas o ayudar a las personas, no con perjudicarlas. Entonces decidimos organizarnos”, detalla.
Comenzaron a reclutar gente y terminaron siendo siete en total, de distintas corrientes pero con un mismo fin.
El grupo también lo integró un viejo conocido —y principal exponente— del hacking chileno: Michael Hudson Gómez, de actuales 42 años, conocido en el mundo underground como “Mr. H” y que en esta oportunidad utilizó el alias “Baba Yaga” durante la maniobra.
Oriundo de Viña del Mar, es uno de los hackers más destacados e influyentes de América Latina. Autodidacta desde joven, pasó por las aulas de medicina e ingeniería antes de consolidarse como referente en ciberseguridad, especializándose en análisis de malware, vulnerabilidades en protocolos y dispositivos médicos, y ciberinteligencia. Expositor recurrente en los escenarios más exigentes del mundo —Black Hat (2013, EE.UU. y 2015, Europa) y Defcon, además de Ekoparty y DragonJAR—, su trayectoria lo posicionó como fundador y CEO de CHAP Cyber Intelligence, firma especializada en servicios de inteligencia y seguridad informática para la región.
En 2017 terminó detenido en Italia —según ha contado— en medio de una operación clandestina vinculada a servicios de inteligencia, en el marco de la prevención de un atentado terrorista en San Petersburgo. Su caso adquirió dimensión internacional cuando el grupo The Shadow Brokers —responsable de algunas de las filtraciones más significativas de la historia del hacking— exigió públicamente su liberación, reconociéndolo como un actor clave dentro de ese mundo. Hudson fue liberado en septiembre de 2018 y regresó a Chile, donde retomó su actividad como consultor y referente de la industria.
Rutify off line, pero sigue el bot
El objetivo principal del grupo que se conformó, según cuentan hoy dos de sus miembros, era identificar a los responsables, bajarles la plataforma y entregar toda la información a las autoridades.
Según la información que pudieron recopilar —que coincide con el análisis a la arquitectura del siti web que hizo BBCL Investiga en base al código de fuente— los atacantes no tenían una base de datos propia con toda la información.
“Ese fue uno de los hallazgos importantes. Ellos no almacenaban los datos directamente. Lo que hacían era utilizar credenciales filtradas hace años desde distintos organismos públicos o privados y que nunca fueron cambiadas“, relata NonStraps.
Con eso, añade, accedían a plataformas conectadas a servicios de salud y hacían consultas en tiempo real mediante APIs. O sea, cuando alguien buscaba un RUT, el sistema iba a consultar directamente a servicios externos vulnerables.
Si bien la plataforma web logró ser bajada, señala otro de los miembros de la operación bajo el seudónimo de Pol0, Rutify se mantiene funcionando mediante un bot en Telegram que se compartió en un grupo privado.
El motivo
Consultados por las razones que motivaron la intervención directa, ambos hackers coinciden en que el punto de quiebre fue la divulgación de datos de menores de edad.
“Ahí fue cuando dijimos ‘esto ya cruzó todos los límites’. Porque no solo aparecían nombres o RUT, también podían aparecer direcciones, información médica y otros antecedentes sensibles. Eso puede terminar en situaciones muy peligrosas para niños”, advierte NonStraps.
Pol0 apunta a que el caos del fin de semana que comenzó con el viernes feriado del 1 de mayo surgió a partir de la gran cantidad de miembros que llegó a tener el canal en Telegram donde los creadores de Rutify iban compartiendo información sobre cómo sacarle provecho a la web, al tiempo que se jactaban de su “poder”.
“El problema es que el canal de Telegram empezó a llenarse de gente. Había más de mil personas mirando cómo funcionaba todo. Y mucha gente (otros hackers con malas intenciones) comenzó a buscar más filtraciones por su cuenta. Se transformó en una especie de efecto manada. Fue un fin de semana caótico”, se lamenta.
Chile sin ropa
Ambos coinciden en que tampoco se trató de un hackeo muy sofisticado, no obstante las debilidades propias de los sistemas de ciberseguridad en nuestro país —tanto en el ámbito privado como estatal— fueron caldo de cultivo para que, en sus palabras, “Chile se quedara sin ropa”.
“Gran parte del problema eran credenciales (correos y contraseñas) filtradas en el pasado, cuentas de empleados o funcionarios con contraseñas débiles, ausencia de doble factor de autenticación y APIs (Interfaz de Programación de Aplicaciones) mal protegidas”, plantean.
En la misma línea, NonStraps asegura que, durante la investigación, la impresión que tuvieron fue que la infraestructura digital chilena quedó “completamente expuesta”, ya que los accesos vulnerados no solo comprometían información médica, sino también sistemas vinculados a telecomunicaciones, organismos públicos, antecedentes tributarios y otras plataformas internas. A su juicio, el problema evidenció un nivel de fragilidad mucho más profundo de lo que inicialmente se conoció y abrió la puerta a riesgos potencialmente mayores para la seguridad digital del país.
Según plantea, si bien en esta oportunidad —afirma— estaban enfrentando a personas con conocimientos limitados y escasa sofisticación técnica, el escenario podría ser mucho más grave si un ataque similar proviniera de grupos internacionales organizados y con mayores capacidades, especialmente contra sistemas considerados críticos para el funcionamiento del país.
Un poco de su propia medicina
Según relató NonStraps, la ofensiva contra Rutify terminó utilizando métodos similares a los que —asegura— empleaba el propio grupo detrás de la plataforma. Sin entregar detalles técnicos específicos, explicó que lograron acceder de manera remota al computador de uno de los involucrados, obteniendo información sensible de su entorno personal y familiar. Entre los antecedentes recopilados había datos privados, contactos y elementos que permitían identificar y ubicar a parte de quienes operaban el sistema.
A partir de eso, sostiene, comenzaron una serie de presiones directas para forzar la caída de Rutify y detener la exposición de información médica y personal de miles de personas. La advertencia era clara: si la plataforma seguía funcionando y continuaban publicando antecedentes sensibles, ellos también podrían divulgar información privada de quienes estaban detrás del proyecto. Según su versión, esa presión terminó siendo clave para que el sitio dejara de operar públicamente y migrara parcialmente a espacios más cerrados en Telegram.
NonStraps asegura que, una vez obtenida la información, decidieron poner todos los antecedentes a disposición de las autoridades. Según afirma, tanto la PDI como Carabineros recibieron datos completos sobre quienes estarían detrás de Rutify, incluyendo identidades, direcciones y otros antecedentes que podrían ser utilizados en eventuales diligencias investigativas.
ANCI se mantiene alerta
En un comunicado publicado el 8 de mayo en su página web, la Agencia Nacional de Ciberseguridad (ANCI) aseguró que mantiene un monitoreo permanente de publicaciones de datos en plataformas como Rutify, con el objetivo de “caracterizar el incidente y evaluar su alcance”, además de verificar si la información difundida provenía de filtraciones antiguas o de nuevos accesos no autorizados.
Según detalló el organismo, hasta ahora “no existe evidencia de ataques a la infraestructura tecnológica”, aunque sí detectaron casos de accesos indebidos mediante el uso de credenciales válidas pertenecientes a usuarios afectados previamente por filtraciones o malware del tipo “infostealer”. Esto, añadió la ANCI, permitió a terceros acceder a datos que “solo deberían ser accedidos por funcionarios y trabajadores”, utilizando cuentas comprometidas.
El comunicado también descartó una filtración masiva vinculada a ClaveÚnica y señaló que “no hay razones que justifiquen recomendar un cambio masivo de contraseñas”. Sin embargo, la agencia advirtió que la difusión pública de datos personales podría ser utilizada para campañas de phishing “más sofisticadas y creíbles”, por lo que llamó a desconfiar de correos, mensajes o enlaces no solicitados y recomendó revisar periódicamente los dispositivos con antivirus actualizados.
