Por José Manuel Vilches, Emol.
SANTIAGO.- El pasado 30 de enero, Alex Smith Leay, ingeniero agrícola y forestal, declaró ante la fiscalía sobre el presunto montaje de Carabineros en la "Operación Huracán". En la ocasión, el creador de la aplicación, bautizada como Antorcha, dio a entender que el funcionamiento de esta era distinto a lo mostrado ayer en un reportaje televisado.
En primera instancia, el llamado "profesor" indicó que no era necesario abrir el mail para poder infectar un celular. Pese a eso, el día de ayer quedó demostrado que no es así y que es fundamental para poder acceder a un aparato. Además, según se reveló en televisión, es requerido omitir el funcionamiento de un antivirus.
Por otro lado, Smith, manifestó que su herramienta se trataba de un keylogger, software que graba las pulsaciones de dispositivos y así puede acceder a conversaciones de los imputados. Sin embargo, el día de ayer en un reportaje emitido por el noticiero central de Canal 13 confirmó que trabajaba recuperando claves de email y accediendo al respaldo de conversaciones. Es más, en declaraciones indicó que si uno "escribía rápido" esto dificultaba su labor.
El método usado por el cuestionado programador es denominado phishing, en el cual a través de un correo electrónico enviado, tiene la capacidad de acceder a contraseñas y usuarios de email del dueño del dispositivo móvil. De esta manera, Smith tenía acceso al respaldo de la aplicación de mensajería en la plataforma, y a su vez, a las conversaciones.
Al ser consultado si es capaz de sacar información anterior de WhatsApp indicó que sí. No obstante, el pasado 30 de enero, ante Fiscalía, declaró que la herramienta Antorcha nunca permitió recuperar conversaciones pasadas.
Paulo Colomés, ingeniero en redes y consultor de seguridad en Nis Chile, indicó a Emol que esta fue la razón por la que se demoró tanto en acceder a conversaciones. El profesional manifestó que el intercambio en la app es respaldado en la noche, por lo que el proceso demoraría un día para tener acceso al contenido.
Por otro lado, para el experto en seguridad "no es una prueba válida" lo emitido en el reportaje, ya que no explica la vulnerabilidad en diversos sistemas operativos como iOS. Además de contar con un panel de expertos presentes, en un ambiente controlado.
Los requisitos de Antorcha para funcionar
Pese a que según lo expuesto el día de ayer, la aplicación desarrollada por Smith sí funciona, no lo hace de la manera en que explicó por primera vez. Según explica Colomé, Antorcha sólo funciona bajo ciertos requisitos.
Primeramente se debe tener sincronizadas las conversaciones de WhatsApp con el respaldo de Google Drive o iCloud de manera automática, con una frecuencia diaria. También es necesario conocer la cuenta de correo electrónico que está habilitada en el dispositivo móvil, para poder realizar el phishing. Por último, el usuario debe acceder con sus datos de Gmail en el sitio falso y no contar con un antivirus.
Para acceder a contraseñas y usuarios, Alex Smith utilizó Xploitz.net un sitio ampliamente conocido, el cual permite realizar el envío de un email para efectuar el phishing. "Lo que mostró no es un software de él, eso ya es una falta ética muy grande, porque se está atribuyendo el trabajo de otra persona", manifestó Colomés.
"Él también debió haber sido responsable en explicar que este sistema tiene ciertas limitaciones y que no opera siempre".
Paulo Colomés, Ingeniero en Redes y consultor de seguridad en Nis Chile
Por otro lado, Colomés aseguró que "no se está interceptando conversaciones, se está accediendo a un respaldo", en la misma línea sostuvo que "él también debió haber sido responsable en explicar que este sistema tiene ciertas limitaciones y que no opera siempre".