Datos expuestos, ciberataques y ética: ¿quiénes están detrás de los hackeos en Uruguay?

Por Cecilia Presa y Felipe Capó

“Filtran más de 37 mil documentos del Mides con datos personales en nuevo ciberataque”, “Hackers pusieron a la venta datos personales de más de 500 docentes de la Udelar”, “Dirección de Migraciones fue hackeada; se filtró información de 15 mil solicitudes de visa”; ciberataques, hackeos de bases de datos y filtraciones ocupan titulares y se han vuelto tendencia en redes sociales en las últimas semanas o incluso meses en Uruguay.

No son una novedad en sí. De hecho, solo en 2024, en el país, se detectaron y respondieron 14.264 incidentes de seguridad informática, según datos del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (Certuy). Pero han crecido en los últimos meses y generan alarma.

Estas filtraciones coinciden con la reciente asunción de un nuevo gobierno de bandera frenteamplista. Este detalle, lejos de ser casual, se evidenció de manera explícita con la divulgación de datos sensibles del presidente Yamandú Orsi, como su número de cédula, su teléfono y una foto carnet del mandatario, propiedad del Sistema de Gestión de Seguridad Pública del Ministerio del Interior.

Detrás de estos ataques hay personas conocidas con el neologismo de origen anglosajón como “hackers”. “LaPampaLeaks”, “Pr1”, “Vladi”, “BogotaLeaks”, “Uruguayo1337”, son algunos de los seudónimos que usan en distintos espacios virtuales —redes, foros, chats cifrados— los miembros de la comunidad de hackers en Uruguay.  

Capturas de pantalla. Fotos: X Eduardo Preve

Sus nombres reales son desconocidos para el público en general, pero hoy se sabe que son jóvenes, algunos de 18 años o quizá menores. Es sabido que la mayoría son amateurs y que, de las decenas de miles de hackeos identificados por Certuy el año pasado, solo el 0,48% fueron clasificados con severidad “alta” o “muy alta”.

El derecho uruguayo (Ley N.° 20.327 de 2024) los llama hoy “ciberdelincuentes”. Y para el que “por cualquier medio y sin autorización destruya, altere o inutilice datos o sistemas informáticos con la finalidad de causar un daño” la Justicia puede dictaminar hasta un año de prisión.

Pero no todos los hackers cometen delitos y, aunque suene como un oxímoron, existen los “hackers éticos”, término acuñado por primera vez hace más de cuarenta años por el periodista estadounidense Steven Levy, quien llamó a estas personas “héroes de la revolución de las computadoras”.

“El hacking ético básicamente es cuando una empresa u organización contrata a un grupo de hackers y les dice: ‘Rómpanme todo; analicen mi empresa, mi producto, mi servicio y díganme qué está mal y cómo lo soluciono’. Entonces se debe analizar un producto, un servicio, un sistema, una empresa para entender cómo funciona, qué cosas están mal y qué se puede hacer distinto y notificarlo con el fin de ayudar. Puede ser que te paguen por eso o no, pero la intención al final es de ayudar”, explica a Montevideo Portal uno de ellos, el uruguayo radicado en Estados Unidos Santiago Rosenblatt.

Rosenblatt, de 28 años, es ingeniero en sistemas y se define a sí mismo como hacker ético. Lideró la ciberseguridad en empresas como Application Security (AppSec), AstroPay y Pedidos Ya, y hoy es el fundador de Strike, una compañía que promete conectar negocios con “los mejores hackers éticos del mundo”.

Más allá de que el heroísmo de esta labor puede ser debatible, la demanda exponencial en empresas y organizaciones de todo el mundo de hackers éticos se debe principalmente a que estas personas pueden salvarlas, directamente, de fundirse. 

“La cantidad de dinero que se puede llegar a perder va desde 0 dólares hasta millones de dólares, hasta incluso que la empresa quede en bancarrota. Pasa un montón, sobre todo a ONG, que los hackean, pierden el historial, pierden todos los estados financieros, no saben qué clientes tienen, etcétera. A veces eso no es reversible y tienen que cerrar la empresa”, indicó el especialista.

El trabajo del hacker ético es pensar como el ciberdelincuente para desarrollar los mecanismos que eviten que se ejecuten ataques a páginas web. El líder de Strike admite que tuvo que hacer un “click” para pasarse al “lado bueno”, solo que esto ocurrió muy temprano, en su adolescencia.

“Hasta los 14 años y medio, cuando pasé al ‘lado bueno’, para mí hackear era un juego, un pasatiempo y no dimensionaba el daño que se podía causar. Pero una vez que entendí que esto estaba mal, o que podía usarse para el mal, ahí me pasé a la parte buena para ayudar a las empresas en vez de dañar o robar”, recuerda.

La historia de Ronseblatt no es la única. Otro joven, hoy de 22 años, conocido en las redes como Gov.eth, también descubrió de adolescente cómo acceder a sistemas informáticos sin autorización, según le cuenta a Montevideo Portal.

“En ese momento, el hacking me ofreció una forma de aprender más y cuestionar lo que daba por sentado”, revela y dice que hackea porque eso le “permite tener un control completo sobre el mundo digital”. “Pero con una responsabilidad importante: asegurarme de que mis habilidades sean usadas para mejorar la seguridad y no para causar daño”, suma.

“Comprendí que usar mis habilidades para mejorar la seguridad de sistemas, proteger datos sensibles y educar a otros sobre buenas prácticas es mucho más valioso que explotarlas para fines personales”, afirma.

El hacker, que no reveló su identidad a Montevideo Portal, sostiene que la ética es “clave” para “mantener un balance entre el poder de la información y el respeto por la privacidad”.

Casi no parece la misma persona que minutos más tarde explicará que publicó una foto robada del presidente Orsi en páginas web como las de la Asociación Uruguaya de Fútbol (AUF) y el semanario Brecha o que dejó sin funcionamiento el dominio oficial gob.uy por unas horas “para romperle la pija al gobierno uruguayo”. 

También es el mismo que en uno de sus hacks más recientes, en la web de la empresa de turismo Buquebus, escribió: “Los políticos de Uruguay son una basura, Orsi corrupto”.

Y es que, aunque su autopercepción así lo indica, Gov.eth no es lo que se dice un hacker ético. De hecho, en su grupo de Telegram —que lleva el nombre de “el hacker más famoso” y al que accedió Montevideo Portal— se jacta de haber cometido decenas de hackeos a páginas uruguayas y argentinas, algunos en colaboración con otros miembros de la comunidad. 

El 25 de diciembre de 2024 compartió una noticia sobre el hackeo de la web del diario argentino Página 12 y escribió a sus más de 1.000 suscriptores: “¿Quién habrá sido?”. Ese mismo día, en colaboración con otro usuario denominado h4xx0r1337, logró ingresar a la web oficial argentina.gob.ar.

Los últimos ataques, admite, fueron para “exigir justicia” por su amigo Vladi, un hacker de 18 años que fue imputado a fines de marzo con 180 días de prisión preventiva por el ataque a los sitios de diversos organismos del Estado.

Según él, no busca hacer daño, pero sabe que las filtraciones y ataques que ha ejecutado infringen la ley y pueden generar alerta en la población. Sin embargo, Gov.eth argumenta que el problema radica en que esa información existe “sin control” y “expuesta para cualquiera”. 

“Yo solo muestro lo que ya está ahí. El verdadero peligro es el silencio. El que se alarma con lo que digo, debería estar más alarmado con cómo están las cosas. Yo no genero miedo, genero conciencia”, opina.

También relativiza el hecho de que hace dinero con la información filtrada: “Todos tienen su forma de hacer un billete extra, pero en mi caso esto [ser hacker] no es mi fuente de ingresos principal. Hackeo por amor al arte y a veces hago plata, pero el verdadero hacker lo hace por amor y no por un billete”.

Quien sí vive del hacking es el ingeniero informático Rosenblatt. El titulado de la Universidad de Oxford —y solo unos años más grande que Gov.eth— confiesa que llegó a ingresar sin autorización al servicio oficial de la NBA o a sistemas como PayPal cuando era menor de edad.

Esa capacidad de encontrar vulnerabilidades para penetrar en un sitio, que solía ser un juego para él, hoy es el modelo de negocios de su compañía. “Lo que hace Strike es la parte de penetration testing, que es básicamente analizar a una compañía y los activos para ver qué tipo de vulnerabilidades pueden tener y ahí se les dice: ‘Esto está mal y así es como se puede solucionar’”, describe.

“Por ejemplo, empresas como el Bank of America, que destina US$ 1.000 millones al año en seguridad, igual son vulneradas. Entonces es una buena idea protegerse y, para protegerse mejor, está bueno contar con personas que tengan experiencia justamente vulnerando empresas”, expone.

En este punto alude al concepto de “daño reputacional” vinculado con los hackeos a sitios uruguayos.

“El gobierno tiene un montón de sitios y cosas para proteger, entonces es difícil la cobertura. Pero no es tal el nivel de gravedad de los hackeos recientes. En estos casos la pérdida sí es más a nivel de reputación, que a nivel monetario. Aunque eso también impacta, porque la gente puede pensar: ‘Si los hackearon capaz que mis datos están en riesgo. Por ejemplo, en Buquebus las personas que pueden tener los datos de sus tarjetas guardados ven el riesgo de que se los utilice, entonces podrían decidir no viajar en ese transporte”, detalla.

Rosenblatt habla con mucha seguridad en un español bastante neutro y cada tanto lanza palabras, conceptos y siglas que parece solo conocer en inglés, como “CVSS 3.1”, el sistema de medición que se usa para evaluar el grado de severidad de un ataque a un sitio y va de “bajo” a “crítico”.

En cambio, Gov.eth usa términos y códigos identificados con los centennials. Es fanático de la banda de trap uruguaya Tussiwarriors y dice ser amigo de artistas de esta generación como Duki y Bizzarrap. También se considera un “criptobro” —aunque se ríe del término— y no tiene filtro al hablar. 

Por eso no sorprende cuando afirma sin tapujos que los organismos del Estado “están regalados” con sus sistemas informáticos. “Usan sistemas de hace 15 años. Muchos ni siquiera cifran bien la información. Tienen autenticaciones débiles, validaciones inexistentes, exposición de datos personales y servidores mal configurados”, apunta e indica que ese tipo de vulnerabilidades se comparten entre la comunidad de hackers.

“Busco hacerle saber a la gente que sus datos no están seguros y que cualquiera con un poquito de conocimiento podría tener todo a sus mano”, afirma Gov.eth.

Doctor Jekyll y el señor Hyde

Piensan que ningún sistema es del todo seguro y que la seguridad es un proceso constante. También que muchas organizaciones no tienen el conocimiento suficiente para entender cómo funcionan sus propios sistemas. Les apasiona desde muy pequeños los desafíos, pensar fuera de la caja y encontrar vulnerabilidades en los sitios web; Santiago Rosenblatt y Gov.eth tienen varias cosas en común.

En la clásica novela El extraño caso del doctor Jekyll y el señor Hyde de Robert Louis Stevenson (1886) el abogado Gabriel John Utterson descubre que el malvado Edward Hyde y su amigo el astuto científico Henry Jekyll son la misma persona. Y más aún, que Jekyll fue quien creó a Hyde, atormentado por la dualidad del bien y el mal en su propia naturaleza.

En algún punto los hackers —como todos los humanos— son Jekyll y Hyde a la vez. Rosenblatt reflexiona esa dualidad en su profesión de esta manera: “La diferencia entre un hacker que usa sus conocimientos para el mal, o sea un cibercriminal, y una persona que usa su conocimiento para el bien es simplemente la intención, la ética, pero los conocimientos son exactamente los mismos”.

Para Gov.eth los conceptos del bien y el mal son “relativos” y el hacking en sí mismo “no es ni bueno ni malo”.

“Lo que determina su moralidad es cómo se usa. Un hacker puede ser ético, utilizando sus habilidades para proteger y mejorar la seguridad, o malintencionado si explota vulnerabilidades para beneficio personal”, concluye.