Los vecinos nunca sospecharon nada. Buggly era un negocio perfectamente camuflado en una casa de dos pisos en Galerías, un barrio residencial y comercial de Bogotá. Era un restaurante común y corriente, donde vendían almuerzos de lunes a sábado y el cocinero a veces tenía que salir corriendo a hacer algún mandado. El lunes abrió y funcionó como siempre. Y el martes se lo tragó la tierra.
Allí, según reveló el lunes la revista Semana, funcionaba una presunta central de interceptación ilegal del Ejército, en la que trabajaban tanto militares como hackers civiles. Los civiles habrían sido reclutados, entre otros escenarios, en Campus Party.
En esa casa, desde hace un poco más de un año, también funcionaba un lugar de encuentro para la comunidad de hacking ético y seguridad informática de Bogotá. ENTER.CO habló con varias personas de ese entorno, que explicaron cómo Buggly se convirtió en sede de reuniones, hackatones y talleres sobre estos temas.
La casa era un punto de encuentro para la comunidad de hacking ético y seguridad informática de Bogotá
En el primer piso de la casa había un restaurante. Y en el segundo funcionaban varios otros negocios: un local de videojuegos y la sala de reuniones donde se hacían los encuentros. «Realmente lo que había en el segundo piso no es diferente a lo que hay en un café internet«, dice una persona que acudió a algunas reuniones: laptops, enrutadores, cables, computadores de escritorio y otros gadgets comunes y corrientes. Lo único extraño, añade la fuente, era que «en ese piso había más puertas, [y] no sé qué había detrás de ellas«.
Un detalle que ha llamado la atención es la permanente vigilancia que tenía el local. Tanto quienes iban a almorzar como para quienes subían al segundo piso debían dejar ver sus maletas a la entrada y a la salida.
Un vecino nos contó que los vigilantes aparecieron luego del robo de un portátil en el lugar, y la persona que estuvo ahí tiene una versión similar: «en el segundo piso había muchas cosas pequeñas que uno podría ‘robarse’. Lo de la vigilancia era ‘para verificar’ y a eso no le puse problema, pero sí era algo molesto en exceso«.
La vigilancia era «molesta en exceso«
Desde el martes, en la sede de Buggly ya no hay nadie. Las sillas y las mesas quedaron plegadas. La romería de periodistas se desvaneció en horas de la tarde, y en la noche del martes solo quedaron las banderas blancas que unos activistas dejaron allí como protesta. Los encargados ni siquiera tuvieron tiempo de arrancar los avisos que anunciaban que el almuerzo solo se podía pagar en efectivo.
“Una fachada perfecta”
En el último año, Buggly logró construir una red de contactos entre la comunidad de hackers éticos y seguridad informática. Esa cercanía les habría permitido a los miembros de Buggly estar en una buena posición para reclutar a los jóvenes más talentosos, y según varias fuentes, era común que los contactaran para ganarse su confianza y enseñarles técnicas de hackeo. Parece «una fachada perfecta«, dijo el hacker.
«Ellos prestaban el salón, y a cambio pedían que algunos de sus miembros participaran de los eventos«, confirmó uno de ellos bajo condición de anonimato. «Se hicieron importantes en la comunidad en el último año«, añadió. Cada transacción de este tipo le permitía al organizador de un evento ahorrarse varios millones de pesos.
Una búsqueda en la red muestra que algunos de los fundadores de la comunidad eran reconocidos públicamente como expertos en hacking ético y seguridad informática. Al menos uno de ellos, llamado Carlos Betancur y apodado ‘Bender1185’, firmaba con nombre y apellido, tenía sus presentaciones colgadas en Slideshare y Prezi y –al contrario de lo que es usual en ese entorno– no hacía nada para mantener su anonimato.
Betancur no hacía nada para mantener su anonimato
Una de esas presentaciones se titula ‘Aplicaciones espías para dispositivos móviles’. En su blog, ofrecía cursos en los que se enseñaba a comprender y vulnerar la seguridad de diferentes sistemas de información. Como se trataba de hacking ético, el objetivo es que estos conocimientos se empleen en fines como diagnósticos a empresas, apoyo a investigaciones judiciales o detección y reparación de vulnerabilidades de seguridad. En el momento de la publicación de esta nota, los contenidos de estos cursos aun están disponibles para descarga.
Betancur estuvo en la rueda de prensa de Campus Party Medellín e incluso grabó un saludo, hoy borrado. Los organizadores del festival le confirmaron a ENTER.CO que Betancur fue el contacto entre ellos y la comunidad Buggly, una de las 72 que participó en el encuentro. Buggly regaló algunas boletas para el evento y realizó actividades de convocatoria, siempre de manera pública.
Él también aparece en fotografías con otros sujetos que, según la caché de Google, son identificadas como fundadores de la comunidad en el propio sitio web de Buggly. De hecho, las actividades que se hacían en la casa eran públicas, se compartieron muchas fotos de ellas en redes sociales e incluso, en varias ocasiones, se transmitían a través de streaming.
Casi todos los hackers entrevistados afirman que han tenido trato personal con Betancur, y algunos de ellos parecen sorprendidos de que una persona con un perfil tan público aparentemente esté vinculado a actividades secretas o de inteligencia. «Parecía una persona muy interesada en hacer crecer la comunidad«, dijo uno de ellos.
Por todo eso, tras las revelaciones, muchos miembros de la comunidad de seguridad se apresuraron a negar, en Twitter y sus blogs, cualquier vinculación con la supuesta fachada.
Otra persona que aparece asociada a Buggly registra el nombre de Nestor Cárdenas, y al parecer usa el apodo ‘borys2705’. Él es quien, según dos bases de datos, registró el dominio web de la comunidad. Con ese nickname hay registrado un perfil de Twitter, aun disponible pero inactivo desde hace meses, y un perfil cerrado de Ustream. Además, una persona con ese apodo publicó, en el sitio BuenasTareas.com, un manual para romper las contraseñas de Wi-Fi.
En la casa hay colgado un aviso donde se anuncia el sitio web hackgamers.com. El sitio, que desapareció de la red el miércoles, mostraba el menú del restaurante y algunas fotos del lugar. Está registrado a nombre de Andrés Guerrero.
Hay que aclarar que, hasta el momento, la justicia no ha determinado si Betancur, Cárdenas o Guerrero tienen o no responsabilidad en algún delito. A pesar de que el Ejército reconoció que en esa casa de Buggly se realizaban actividades encubiertas de inteligencia, ninguna autoridad ha confirmado hasta el momento que allí se hayan realizado interceptaciones ilegales.
La justicia no ha determinado si Betancur, Cárdenas o Guerrero tienen o no responsabilidad en algún delito.
Sin embargo, en cuestión de horas, toda su presencia en la red se pulverizó: los perfiles en Twitter, Linkedin, Slideshare, Prezi, blogs y sitios web tanto de Buggly como de Betancur desaparecieron apenas Semana publicó su primer informe sobre este tema. Según personas con las que hablamos y que han intentado comunicarse con él, contactarlo por teléfono también es imposible.
A pesar de eso, muchas personas de la comunidad de hacking ético están esperando que Betancur, Cárdenas o Guerrero den la cara y expliquen lo que pasó. No solo les da miedo que los involucren en actividades ilegales, sino también que su actividad termine aun más estigmatizada.
LEY 1273 DE 2009, claro que hay delito, ahora solo hace falta que se los demuestren, este tipo de actividades no pueden ser tomadas tan a la ligera, desde el nacimiento de esta ley, muchas de las actividades que se realizan como «hacking etico» son ilegales
Aca lo preocupante no es la legalidad de los hackers, sino que es el uso de civiles por parte de las fuerzas de inteligencia militar en una actividad claramente ilegal. Porque hackatones se han hecho en campus party y otros eventos de los que algunos han sido auspiciados por el estado
las actividades de hacking ético son académicas y únicamente propuestas con fines de conocimiento. En Colombia pregrados, especializaciones y maestrías en seguridad informática lo incluyen en sus pensums. Aquí lo ilegal no es el medio, es el fin
Amigo,… Ejemplo si tu dices que vas a jugar captura la bandera y el que se robe la bandera es de el. Es un robo o no es un robo? Otro ejemplo si tu dices a un ladrón que si te logra robar al billetera le das el dinero es un robo??
si ud concina un pollo deja de ser un pollo, para volverse un pollo asado…. que cantinflada esta hablando ud… no compare nunca un ctf con robo real….
Haber… lo que te estoy diciendo, es que es ético pero ilegal! En pocas palabras, si accedes a una red de PC, con el fin de obtener fallas cuando te lo han pedido es eticamente bien sin embargo no es legal. Al ser eticamente bien, no te van a demandar…
Pero claro tu eres un Gran «hacker»… y puedes hacer cosas que nadie «sabe».
Nota: Te crees hijo de una suripanta francesa??
Es legal siempre y cuando se tenga permiso del responsable de esa red, en el caso de un análisis de vulnerabilidades el «dueño» de esa red (pc, servidor, VPS, appliance, aplicación, web, etc) autoriza al analista a hacer las pruebas necesarias en la misma para entregar un reporte de sus hallazgos, es legal y ético.
si tu tienes unas botas y no la usas, tu las botas, jejeje, así entendí tu analogía, o mas bien la verdad no la entendí, no soy juez para juzgar, solo entren y lean la ley 1273, y den sus deducciones, yo no soy nadie para decir quien hace el mal o el bien, pero antes de criticar mi comentario los invito a buscar la ley y analizarla y dar sus propias conclusiones basándose en lo tipificado.
– Artículo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO.
Artículo 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN.
– Artículo 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS.
– Artículo 269D: DAÑO INFORMÁTICO.
– Artículo 269E: USO DE SOFTWARE MALICIOSO.
– Artículo 269F: VIOLACIÓN DE DATOS PERSONALES.
Haber.. te explico no todo se coloca en blanco y negro, como legal e ilegal existen matizes!!! Buena!!
mi amigo, sigo sin entender tu forma de comunicarte, es matizes o matices? no lo encuentro el google como matizes, trato de analizar, dices que todo no es blanco y negro, que existen matices, asimilo que quieres decir hay colores, osea, que algunas normas son mas claras que otras? no te entiendo? y por que pones esos artículos de la ley 1273?? pon la que esta manejando el tema en cuestión y la analizamos
LEY 1273 DE 2009, claro que hay delito, ahora solo hace falta que se los demuestren, este tipo de actividades no pueden ser tomadas tan a la ligera, desde el nacimiento de esta ley, muchas de las actividades que se realizan como «hacking etico» son ilegales
Aca lo preocupante no es la legalidad de los hackers, sino que es el uso de civiles por parte de las fuerzas de inteligencia militar en una actividad claramente ilegal. Porque hackatones se han hecho en campus party y otros eventos de los que algunos han sido auspiciados por el estado
las actividades de hacking ético son académicas y únicamente propuestas con fines de conocimiento. En Colombia pregrados, especializaciones y maestrías en seguridad informática lo incluyen en sus pensums. Aquí lo ilegal no es el medio, es el fin
Amigo,… Ejemplo si tu dices que vas a jugar captura la bandera y el que se robe la bandera es de el. Es un robo o no es un robo? Otro ejemplo si tu dices a un ladrón que si te logra robar al billetera le das el dinero es un robo??
si ud concina un pollo deja de ser un pollo, para volverse un pollo asado…. que cantinflada esta hablando ud… no compare nunca un ctf con robo real….
Haber… lo que te estoy diciendo, es que es ético pero ilegal! En pocas palabras, si accedes a una red de PC, con el fin de obtener fallas cuando te lo han pedido es eticamente bien sin embargo no es legal. Al ser eticamente bien, no te van a demandar…
Pero claro tu eres un Gran «hacker»… y puedes hacer cosas que nadie «sabe».
Nota: Te crees hijo de una suripanta francesa??
Es legal siempre y cuando se tenga permiso del responsable de esa red, en el caso de un análisis de vulnerabilidades el «dueño» de esa red (pc, servidor, VPS, appliance, aplicación, web, etc) autoriza al analista a hacer las pruebas necesarias en la misma para entregar un reporte de sus hallazgos, es legal y ético.
si tu tienes unas botas y no la usas, tu las botas, jejeje, así entendí tu analogía, o mas bien la verdad no la entendí, no soy juez para juzgar, solo entren y lean la ley 1273, y den sus deducciones, yo no soy nadie para decir quien hace el mal o el bien, pero antes de criticar mi comentario los invito a buscar la ley y analizarla y dar sus propias conclusiones basándose en lo tipificado.
– Artículo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO.
Artículo 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN.
– Artículo 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS.
– Artículo 269D: DAÑO INFORMÁTICO.
– Artículo 269E: USO DE SOFTWARE MALICIOSO.
– Artículo 269F: VIOLACIÓN DE DATOS PERSONALES.
Haber.. te explico no todo se coloca en blanco y negro, como legal e ilegal existen matizes!!! Buena!!
mi amigo, sigo sin entender tu forma de comunicarte, es matizes o matices? no lo encuentro el google como matizes, trato de analizar, dices que todo no es blanco y negro, que existen matices, asimilo que quieres decir hay colores, osea, que algunas normas son mas claras que otras? no te entiendo? y por que pones esos artículos de la ley 1273?? pon la que esta manejando el tema en cuestión y la analizamos
Manual para romper las redes wifi jejeje!!!!!! «bajese Beini presione el teterito» ya esta el manual…..
Ya no es manual, es un tutorial!
Disque un manual para romper las redes wifi jejeje!!!!!! «bajese Beini presione el teterito» ahi les dejo el manual…..
Ya no es manual, es un tutorial!
Conclusión, si estaban usando hacker civiles… eso quiere decir que los militares no tiene la suficiente capacidad!!
si estaban usando civiles es por que son activos reemplazables, y los militares invierten mas ellos. es mas fácil remplazar o legalizar un civil que le pagan 20 millones, que dar de baja un militar que invierten 100 millones. es cuestión de contabilidad.
Conclusión, si estaban usando hacker civiles… eso quiere decir que los militares no tiene la suficiente capacidad!!
si estaban usando civiles es por que son activos reemplazables, y los militares invierten mas ellos. es mas fácil remplazar o legalizar un civil que le pagan 20 millones, que dar de baja un militar que invierten 100 millones. es cuestión de contabilidad.
Pero cuales hackers….. ahora cualquiera que copie y pegue un manual es un hacker, por que de ser el caso, todos los que copiaron de Wikipedia un trabajo son lo reeeeehackers… lo único que dejo claro esto es la necesidad de protagonismo que tienes estos disque hackers
O sea que para ser hacker deben revelar todo lo que hagan por internet….? Ningún mago revela sus trucos mas geniales…ademas les estaban pagando el propio ejercito por lo tanto no era cualquier persona
Le estaba pagando el ejercito, ud vio observo o conoce esa transacción monetaria si esa asi hágalo saber a la fiscalia, por que lo que se sabe es que era un monton de wannaboyz empeliculados, un consejo mejore su comprensión de lectura copiar y pegar manuales no te hace hacker, no escribí de magos ni de secretos, para que me comprenda este tipo de casos daña a personas como yo que llevo mas de 18 años en la seguridad informática….
Si leyera un poco mas se dará cuenta de que el ejercito confirma que tenían control y sabia sobre el lugar por algo han rodado cabezas, y no creo que alguien trabaje gratis para el ejercito por lo tanto le pagaban al tipo «Le falto algo de lógica Supuesta Persona de Seguridad Informática» y quien dijo que por subir manuales te hace un hacker.?,,no un verdadero hacker jamas subiría contenido propio jamas se delataría tan fácil y por otro lado me importa un reverendo sus 18 años de trabajo, ahora las cosas han cambiado los métodos de seguridad que ud sabe son obsoletos….Lo digo por su falta de lógica en el asunto…
eso que ud segura lo esta estudiando la fiscalía, rodaron cabezas fue por el trato mediático que se le dio…., ud necesita buscar que es caja gris (bunker 7) que es esperanza y por que lo remplazara puma, y respecto a los métodos de seguridad como sabe que mis métodos son obsoletos?, le comento que llevo varios años ofreciendo charlas en defcon y black hat, es mas como sabe quien soy yo?, un verdadero hacker jamas subiría un contenido como propio jamás (le recuerdo lo que paso con geohot y sony), creo que aca el conflicto es de películas lord nikon, zero cool, n30 eran verdaderos hackers?, un verdadero hacker solo hackea sin mas ni mas…. creo que esta topic se lleno de supuestos, nunca escribí que subir manuales te hace hacker, eso fue sarcasmo toca leer y por algo dice lo de Wikipedia para reiterar el SARCASMO….. y toca dejar de suponer…. yo me responsabilizo por lo que escribo pero no me responsabilizo por lo que ud entienda.
Entonces deje de suponer….por que no todo es como ud dice…
Dejemos la palabra es dejemos, y es verdad no todo es como se dice…. menos en la presa colombiana.
Marikones todos ustedes Hijos del cochino estado basuras
Nooo un supuesto «en seguridad informática» con 18 años en el area y diciendo tantas estupideces…… como se le ocurre decir que hackear es solo copiar y pegar eso es lo mas tonto que he escuchado, si para programar algunas veces hay que buscar código y modificarlo , ahora que sera hackear en donde se debe BUSCAR el hueco, la falla de seguridad… por favor hágase un cursito técnico en el sena de computadores para que entienda un poco y así pueda comentar sobre estos temas………….
Delajo… que es un resentido de «hacker». Seguramente intento aprender, pero no logro ni pasar de programación 1. Ni logro hacer un Html con ayuda!! XD
me parece bien tomar un curso en el sena, si ud comparte con migo las clases de comprensión de lectura falta que le hace y que necesita una con urgencia, en otras palabras, no eran hackers eran lammers buscando protagonismo mediático, y respecto a mi comentario le resumo para que no sea de dificil comprensión, ud reúne 10 personas con conocimiento técnico normal en redes, los adiestra en herramienta como nesus o ataques de MitM, no es «hacking» o ser «hacker» es buscar huecos? cualquiera lo encuentra con la herramienta, en lo personal yo hago huecos, no me gustan las herramientas de otros, ser un hacker no es empelicularme por que entre a una red, ser hacker es desarrollar un método de acceso LIMPIO A LA RED, vuelvo y reitero no es hacking tomar un manual que escribí hace marras cambiarle dos palabras y colocarlo como propio y dar charlas en restaurante de galerías sobre hacking wep y wpa….. lo único que deja claro su respuesta apresurada es la misma necesidad que tienen los que hacen un off-topic en este tema…. PROTAGONISMO-PROTAGONISMO….
Pero cuales hackers….. ahora cualquiera que copie y pegue un manual es un hacker, por que de ser el caso, todos los que copiaron de Wikipedia un trabajo son lo reeeeehackers… lo único que dejo claro esto es la necesidad de protagonismo que tienes estos disque hackers
O sea que para ser hacker deben revelar todo lo que hagan por internet….? Ningún mago revela sus trucos mas geniales…ademas les estaban pagando el propio ejercito por lo tanto no era cualquier persona
Le estaba pagando el ejercito, ud vio observo o conoce esa transacción monetaria si esa asi hágalo saber a la fiscalia, por que lo que se sabe es que era un monton de wannaboyz empeliculados, un consejo mejore su comprensión de lectura copiar y pegar manuales no te hace hacker, no escribí de magos ni de secretos, para que me comprenda este tipo de casos daña a personas como yo que llevo mas de 18 años en la seguridad informática….
Si leyera un poco mas se dará cuenta de que el ejercito confirma que tenían control y sabia sobre el lugar por algo han rodado cabezas, y no creo que alguien trabaje gratis para el ejercito por lo tanto le pagaban al tipo «Le falto algo de lógica Supuesta Persona de Seguridad Informática» y quien dijo que por subir manuales te hace un hacker.?,,no un verdadero hacker jamas subiría contenido propio jamas se delataría tan fácil y por otro lado me importa un reverendo sus 18 años de trabajo, ahora las cosas han cambiado los métodos de seguridad que ud sabe son obsoletos….Lo digo por su falta de lógica en el asunto…
eso que ud segura lo esta estudiando la fiscalía, rodaron cabezas fue por el trato mediático que se le dio…., ud necesita buscar que es caja gris (bunker 7) que es esperanza y por que lo remplazara puma, y respecto a los métodos de seguridad como sabe que mis métodos son obsoletos?, le comento que llevo varios años ofreciendo charlas en defcon y black hat, es mas como sabe quien soy yo?, un verdadero hacker jamas subiría un contenido como propio jamás (le recuerdo lo que paso con geohot y sony), creo que aca el conflicto es de películas lord nikon, zero cool, n30 eran verdaderos hackers?, un verdadero hacker solo hackea sin mas ni mas…. creo que esta topic se lleno de supuestos, nunca escribí que subir manuales te hace hacker, eso fue sarcasmo toca leer y por algo dice lo de Wikipedia para reiterar el SARCASMO….. y toca dejar de suponer…. yo me responsabilizo por lo que escribo pero no me responsabilizo por lo que ud entienda.
Entonces deje de suponer….por que no todo es como ud dice…
Dejemos la palabra es dejemos, y es verdad no todo es como se dice…. menos en la presa colombiana.
Nooo un supuesto «en seguridad informática» con 18 años en el area y diciendo tantas estupideces…… como se le ocurre decir que hackear es solo copiar y pegar eso es lo mas tonto que he escuchado, si para programar algunas veces hay que buscar código y modificarlo , ahora que sera hackear en donde se debe BUSCAR el hueco, la falla de seguridad… por favor hágase un cursito técnico en el sena de computadores para que entienda un poco y así pueda comentar sobre estos temas………….
Delajo… que es un resentido de «hacker». Seguramente intento aprender, pero no logro ni pasar de programación 1. Ni logro hacer un Html con ayuda!! XD
me parece bien tomar un curso en el sena, si ud comparte con migo las clases de comprensión de lectura falta que le hace y que necesita una con urgencia, en otras palabras, no eran hackers eran lammers buscando protagonismo mediático, y respecto a mi comentario le resumo para que no sea de dificil comprensión, ud reúne 10 personas con conocimiento técnico normal en redes, los adiestra en herramienta como nesus o ataques de MitM, no es «hacking» o ser «hacker» es buscar huecos? cualquiera lo encuentra con la herramienta, en lo personal yo hago huecos, no me gustan las herramientas de otros, ser un hacker no es empelicularme por que entre a una red, ser hacker es desarrollar un método de acceso LIMPIO A LA RED, vuelvo y reitero no es hacking tomar un manual que escribí hace marras cambiarle dos palabras y colocarlo como propio y dar charlas en restaurante de galerías sobre hacking wep y wpa….. lo único que deja claro su respuesta apresurada es la misma necesidad que tienen los que hacen un off-topic en este tema…. PROTAGONISMO-PROTAGONISMO….
Marikones todos ustedes Hijos del cochino estado basuras