Observaciones técnicas software Antorcha - Operación Huracán

Desmenuzando la ANTORCHA de Alex Smith Leay contra Whatsapp y Telegram en la Operación Huracán 07 de febrero de 2018

Por: Paulo Colomés, Ingeniero en Redes y Seguridad TI Email: [email protected] Web: http://www.nis.cl Muchos de mis colegas, conocidos y alumnos me han consultado con bastante frecuencia en los últimos días respecto a cuál es mi opinión técnica sobre lo que está sucediendo en torno a la Operación Huracán, donde Carabineros de Chile incriminó a 8 personas por diversos delitos mediante la supuesta presentación de evidencias falsificadas, las cuales provenían principalmente de interceptaciones de mensajes de Whatsapp y Telegram intercambiados por los detenidos donde habrían conversaciones que los incriminarían en estos delitos. Como ciudadano libre, interesado en el acontecer nacional, preocupado por la confiabilidad de las instituciones de mi país y, principalmente, como profesional del área informática en mi rol como ingeniero consultor con especialización en comunicaciones de redes y seguridad de la información, me tomo la libertad de escribir este ensayo (o simplemente texto, para no atribuirme la genialidad de aquellos que realmente crean ensayos como tal) sobre mis observaciones desde un punto de vista puramente técnico respecto a las declaraciones realizadas por Alex Smith Leay y publicadas en el diario La Tercera del día 06 de febrero de 2018 donde se informa sobre la declaración prestada por él a los fiscales del caso Operación Huracán en el marco de las investigaciones que se están realizando para determinar si realmente Carabineros de Chile, con la ayuda del Sr. Smith, habría falsificado evidencia digital que ha inculpado a 8 personas en ciertos delitos y que habrían sido generados, de acuerdo a la versión oficial de la policía chilena, por un software llamado ANTORCHA que habría sido desarrollado íntegramente por Alex Smith y que tendría la habilidad de interceptar mensajes de Whatsapp y Telegram de cualquier teléfono del mundo. En este texto me remitiré únicamente a los dichos sobre la funcionalidad de la aplicación ANTORCHA y que pueden ser leídos directamente de la fuente citada en el siguiente link: http://www.latercera.com/nacional/noticia/la-declaracion-del-hacker-creo-antorchasoftware-la-operacion-huracan-no-busco-dinero-reconocimiento-carabinerosbasta/59218/. Además, este documento no tiene carácter oficial de ninguna naturaleza ni tampoco pretende hacer algún tipo de juicio de valor o similar sobre las personas que se indican en ese reportaje, sino más bien tiene por objetivo analizar la viabilidad técnica real de lo que Alex Smith declara respecto a ANTORCHA ya que como la posibilidad de que efectivamente se trate de un montaje cobra especial relevancia por la gravedad de lo que esto implicaría, considero necesario que quien se interese por conocer una opinión técnica al respecto pueda tener un documento un poco más entendible, ya que necesariamente para determinar la veracidad del funcionamiento de esta herramienta informática se debe utilizar terminología

procedente del mundo hacker, la cual evidentemente no es conocida por el común de la población y mucha gente puede quedar desinformada o puede generarse una apreciación errónea simplemente por el hecho de estar discutiendo sobre materias técnicas profundas que son poco conocidas, del mismo modo que se puede estar discutiendo sobre física nuclear o temas relacionados con la neurología más especialista y que solamente personas calificadas puedan comentar. Dicho lo anterior, ahora me centraré en los aspectos técnicos de la declaración que presentó el Sr. Alex Smith Leay, informático a cargo del software que utilizó Carabineros, donde detalla el procedimiento de funcionamiento de esta herramienta, con la cual supuestamente pudo acceder a conversaciones de Whatsapp y Telegram de los inculpados. La primera vez que escuché, dentro del contexto de la Operación Huracán, sobre la posibilidad de que alguien haya logrado efectivamente vulnerar las conversaciones de Whatsapp y Telegram me llamó muchísimo la atención, dado que yo trabajo en el área de redes y seguridad informática y habitualmente realizo asesorías en hacking ético a diferentes corporaciones, por lo cual esta noticia captó mi interés inmediatamente. ¡Incluso casi me caigo de la silla cuando supe que esto había ocurrido ni más ni menos que en Temuco! La misma ciudad donde vivo… ¡y que además habría sucedido a 3 cuadras de mi propia casa! Hoy leo las declaraciones de Smith Leay ante los fiscales del caso y voy a pasar a comentar los puntos que más me llaman la atención del reportaje elaborado por el diario La Tercera. Lo primero que llama la atención es el perfil profesional de Smith. Ingeniero forestal e ingeniero agrícola, con un MBA y un algunos diplomados en informática donde solo especifica algunos. También es conocido por ser profesor de Excel y ofimática. Esto ya es poco habitual para alguien que dice tener los conocimientos que se atribuye. Normalmente las personas relacionadas con temas similares de hacking, interceptación de comunicaciones en redes IP o espionaje informático tienen un perfil más cercano a lo que se conoce tradicionalmente como hacker o que al menos demuestra tener cercanía con este tipo de actividades. Sin embargo, Smith Leay dista enormemente de este perfil y hasta ahora vendría siendo para mí el primer “hacker” del que tengo noticias que tiene un perfil como este. Respecto a las declaraciones puntuales de Smith, paso a enumerar aquellas que más me llamaron la atención junto con mi explicación o comentario. 1) “Su modus operandi, dice Smith, era “analizar la publicación de la red. Para ello, entraba a la página web correspondiente luego accedo al código fuente y así determino las rutas de acceso y otros datos que son relevantes, por ejemplo correo electrónico, fecha de modificaciones, nickname y otros. Posteriormente, utilizando la herramienta ‘exif view’ analizábamos la imagen, para posteriormente descargarla y analizarlas con otras herramientas tales como FOCA, Exif Tools” ¿Analizar la publicación de la red? ¿A qué se refiere con esta expresión? No existe ningún

término que se denomine “publicación de la red” como tal, ni en programación de aplicaciones ni en administración de redes. Al menos es primera vez en mis “..ti tantos” años en este mundo que escucho algo similar en una descripción de procedimientos. Mi primera impresión es que el término como tal es un invento y no tiene respaldo de ninguna publicación, estándar o documentación que yo conozca. Incluso le he preguntado a un colega que tal vez tenga más experiencia que yo si es que le suena a algo conocido y simplemente se encoje de hombros. Luego dice que accede al código fuente y determina las rutas de acceso. ¿Rutas de acceso a qué? Lo único que hay en un código fuente son los resultados en HTML y enlaces hacia recursos (imágenes, scripts, sonidos, etc.) que son interpretados por el navegador Web como una página con colores, formas, texto, imágenes, entre otros, pero realmente no sé a qué se refiere con “rutas de acceso” exactamente. Es una explicación muy vaga, ambigua y abierta a cualquier interpretación. Me recuerda a un mecánico que tuve y que cuando llevaba mi auto por algún problema me decía siempre lo mismo: “jefe, hay que dejarlo acá y revisarlo para descartar que falle algo”. Yo le preguntaba, ¿algo como qué, por ejemplo? Y me decía: “algo poh jefe, cualquier cosa”. Ah listo, le decía yo… y lo dejaba no más (qué iba a hacer, si la mecánica no es lo mío. Bueno, después descubrí que al parecer tampoco era lo de él…) Aquí Smith hace referencia al código fuente de un sitio Web, pero ¿qué tiene que ver eso con interceptar mensajes de Telegram y Whatsapp? Además, el código fuente es información pública. Los que trabajamos en Hacking sabemos que en el código fuente puede existir algo de información potencialmente reveladora pero en general es muy poco lo que se puede rescatar de ahí, más que algunos comentarios hechos por el desarrollador o links poco protegidos donde se acceda a algún directorio sensible, pero más allá de eso no es habitual encontrar algo relevante. Dicho en simple: No por mirar el código fuente de un sitio Web se podrá efectivamente “hackear” ese sitio. Además indica que también él descarga “Exif View” para analizar las imágenes, aún cuando existen miles de sitios gratuitos online para editar y ver información EXIF. ¿Qué es la información EXIF? Es muy simple. Todas las imágenes digitales tienen información adicional a la imagen misma. Esto se conoce como “metadatos” y contienen cosas como la fecha de creación del archivo, algunos datos propios del sistema donde fueron creados y eventualmente en algunos casos se contiene información respecto al tipo de cámara con la cual se tomaron las fotos, si se editó con alguna herramienta tipo Photoshop, qué filtros de imagen se utilizaron, y un montón de información respecto al archivo de imagen en sí, pero no a la imagen. Ejemplo, una información EXIF puede decir que la foto se tomó con una cámara Canon con un filtro de luz X y un valor de sombra Y (no soy fotógrafo, no sé mucho de lo que puede tener una imagen como metadatos), pero un valor EXIF no puede decir que la persona que sale en la foto es tal o cual, o que la casa que se ve de color rojo es de propiedad de alguien. Exif View es una herramienta para ver este tipo de información. Un ejemplo simple

La siguiente fotografía mía (disculpen la autoreferencia) podemos analizarla para ver sus datos EXIF. Esta imagen está disponible en este link: https://media.licdn.com/mpr/mpr/shrinknp_200_200/AAEAAQAAAAAAAAQrAAAAJGYwYm ViZGRlLWEzNWYtNDE1ZS1iNGUxLWUyNjMxM2VjNjM2OA.jpg

Basta buscar en Google por “Exif View” y en el primer link que salga analizamos la imagen:

Como se puede apreciar, podemos saber que la imagen pesa 0,040 Megapixeles, es de tipo JPEG, usa una codificación DCT, tiene un tamaño de 200 x 200 y un par de cosas más, pero la información EXIF no indica quien soy yo ni menos que la imagen fue tomada en la hermosa Patagonia chilena. Existe una excepción donde si se podría obtener esta información y es cuando la imagen se toma directamente en un smartphone y la foto sin editar se analiza en estos EXIF Viewers. Ahí se pueden ver las coordenadas de GPS de donde se tomó la foto, pero basta que esa imagen haya sido modificada una sola vez para que esa información ya

se pierda. En definitiva, usar EXIF para analizar una foto es una cosa que en el 0,001% de los casos puede arrojar información interesante que pueda ser utilizada en un juicio. 2) “Según “el profesor” con esa tarea (Lo de revisar el código fuente y el EXIF) lograba no solo revisar fotos sino establecer el lugar de dónde habían sido tomadas. “Mi trabajo me permitía establecer posicionamiento del lugar donde había tomado la foto, los nombres o nick del usuario, si era única en la red o no”. En el 99,99% de los casos no se puede determinar el lugar de donde habían sido tomadas las fotos. Esto solo es posible si la foto corresponde a una imagen obtenida directamente desde un teléfono móvil con función de GPS activada y además si la imagen no ha sido procesada por ningún software de imágenes (Photoshop o similar). Además se indica que es también posible obtener “nick del usuario”. Eso no se obtiene mediante un análisis EXIF. No tengo idea cómo en una fotografía mediante un análisis EXIF se podría saber quien es el “nick del usuario” menos aún si el trasfondo de lo que estamos analizando tiene que ver con los nicks utilizados en Whatsapp o Telegram. Esto no tiene ningún sentido. Al final indica “…y era única en la red o no”. ¿¿A qué se refiere con esto?. Queda en duda porque es una declaración ambigua. Que la imagen sea única en la red, ¿se refiere a una red en particular? ¿O se refiere a Internet cuando indica “la red”?. No sabemos. El no emitir ese comentario no hace diferencia en absoluto. 3) “En relación con las aplicaciones, la primera que desarrollamos fue para el manejo de la base de datos de los blancos investigativos, es decir, diseñé un modelo de base de datos relacional con la herramienta Microsoft Access, el objetivo era ordenar la información y facilitar las consultas.” Creo que si hay alguien más que tiene experiencia en Hacking leyendo este texto ya habrá soltado una carcajada, una sonrisa dubitativa o habrá puesto el ceño fruncido con esto. No quiero sonar petulante o engreído, pero MS Access es una herramienta extremadamente básica para alguien que supuestamente trabaja desarrollando software y aplicaciones de hacking y con habilidades tan sorprendentes como para interceptar mensajería que los estándares de seguridad actuales consideran como efectivamente privada. Esto, nuevamente, no calza con el perfil de un supuesto hacker. Es como que en una conversación de amigos que recién se están conociendo alguien diga que es piloto de fórmula uno y que ha participado en las mejores carreras del mundo corriendo pero cuando le preguntan qué tipo de auto tiene, él responde que entrena todos los días en su Peugeot 206 no más…. Eso mismo que pensó Ud. es lo que pienso al respecto. 4) “Otra herramienta que desarrollamos permitía monitorear redes sociales, que consistía en crear un espejo del teléfono, pues desencriptar Whatsapp era imposible”. Me perdí. ¿Cómo es eso de que hay otra herramienta que permite monitorear redes sociales (Facebook, Twitter, etc) la cual consiste en crear un espejo del teléfono. ¿Qué sería

técnicamente “crear un espejo del teléfono”? ¿Se refería a crear una imagen clonada binaria bit a bit del sistema operativo de la víctima (como lo hace la herramienta Unix “dd”) del o tal vez se refiere a una copia de los archivos principales solamente? Me hubiese gustado que explicara en más detalles qué es exactamente un ”espejo” en este contexto. Además no veo relación en la explicación de monitoreo de redes sociales con la acción de cear un supuesto espejo. Es muy extraña esta asociación de conceptos pues una cosa es monitorear las redes sociales de un posible target a quien se quiere espiar, y otra diferente es copiar un teléfono para obtener un espejo. Es una explicación incongruente y que no guarda relación entre ambas cosas. 5) “ La aplicación se abría en el computador y la primera acción consistía en escoger entre Android o OIS (iOS? Error de redacción yo creo en La Tercera), luego debían ingresarse algunas variables tales como correo electrónico, imei, número de teléfono, simcard. Lo indispensable era tener el correo electrónico sincronizado con teléfono”. La aplicación Antorcha, que intercepta mensajes de Whatsapp y Telegram de cualquier persona se “abre” en el computador (un buen hacker haría la diferencia entre “ejecutar” una app y “abrir” un archivo ya que técnicamente no es lo mismo. En fin) y luego se ingresan algunos datos como correo electrónico de la persona, IMEI, número de teléfono y SimCard. ¿Cómo se ingresa una SimCard si esto es un chip físico? La SimCard tiene un código que es justamente el número de teléfono asociada a ella pero eso ya lo preguntaba la aplicación supuestamente. ¿Qué valor se ingresaba donde dice “SimCard”?. Insisto, una simcard es un chip de celular común y corriente. Estas Simcards tienen un código propio pero no es más que un valor tipo inventario que no tiene ninguna relevancia en una comunicación por red, al menos al nivel de aplicaciones (tal vez tenga algún valor en la capa 1 o 2 de comunicación por la red GSM, pero eso tampoco se especifica en el detalle que da Smith Leay).

Esto es una SimCard. ¿Cómo se ingresa esto en un software? Curioso, por decir lo menos.

6) “una vez ingresadas las variables, el servidor de la UIOE (Unidad de Inteligencia Operativa Especializada de Carabineros) enviaba un correo electrónico al teléfono que se quería intervenir. Todo ello con orden judicial. El correo enviado contaminaba el teléfono.” Veamos. Una vez ingresados los datos (correo electrónico, IMEI, número de teléfono y SimCard) en esta supuesta aplicación Antorcha, el servidor donde estaba alojada enviaba un correo al teléfono que se quería intervenir. Un momento, debo aclarar dos cosas respecto a esto:

Uno. Si la aplicación se “abría” en el PC ¿cómo es que ahora hay un servidor involucrado? ¿Es un sistema basado en Web entonces? ¿Por qué entonces Smith Leay no dice simplemente que su aplicación está basada en la Web y así facilita todo análisis? La otra posibilidad es que sea una aplicación desarrollada en un lenguaje de programación avanzado y que opere en modo cliente servidor, donde el cliente se instala en el PC local y se conecta mediante un puerto y datos específicos con algún servidor remoto. Sin embargo, dado los datos que presenta Smith, considero que esta opción no es la más correcta para describir lo que realmente haría ANTORCHA. Dos. Un correo electrónico JAMÁS se envía a un teléfono. El correo se envía a una casilla electrónica identificada por un usuario, una arroba y una dirección de un servidor (ejemplo: [email protected]) siendo que esta casilla puede ser accedida desde un PC, un teléfono, una tablet, un reloj, etc. El correo se envía a un servidor de correos donde está alojada esa casilla electrónica. Por lo anterior es incorrecto indicar que un correo se envía a un teléfono. Es importante hacer este alcance porque es relevante para poder comprender el proceso exacto de cómo funcionaría la aplicación ANTORCHA. Una persona experta realmente no cometería el error de comunicarse de esa manera pues estaría haciendo referencia a algo que no es real. Además, hasta este punto sigo sin entender porqué el sistema de Smith Leay entonces requiere los datos de IMEI, número de teléfono y SimCard si lo único que hace es simplemente enviar un correo. Basta con ingresar la dirección de correo de acuerdo a su declaración y listo. Ah, una cosa más. Ningún hacker que se presente como tal utilizaría la expresión “… contaminaba el teléfono”. Eso no existe en la jerga habitual. Se utilizan otros términos como “infectar, interceptar, vulnerar, explotar, hijackear o inyectar un payload (carga útil)”, pero nunca “contaminar”. Los hackers no son sucios… (no sé si se entiende la analogía, pero un buen hacker no se referiría a su propio trabajo como algo sucio. Todo lo contrario). Es un término muy raro. 7) “los correos electrónicos enviados eran promociones y bastaba con que estos llegaran al correo a la bandeja de entrada para infectar el aparato. Los correos estaban diseñados para pasar la barrera del spam”. Esta frase está llena de errores y de situaciones llamativas, cuando menos. “Los correos electrónicos enviados eran promociones”. OK, nada raro en eso ya que esto es lo que se conoce habitualmente como SPAM o correos no solicitados. “Bastaba con que llegaran a la bandeja de entrada para infectar al aparato”.Esto es totalmente inverosimil. ¿Existe alguna forma de que solo con que llegue un correo a la bandeja de entrada se infecte un dispositivo con un virus? La respuesta es que no. Así de simple: NO. Déjenme, por favor, destacarlo en negrita.

¿Cómo así? Bien. En algunos casos puede existir alguna vulnerabilidad en clientes de correo específicos (ejemplo: Microsoft Outlook, Thunderbird o la aplicación de correos de Android) que puedan ser explotadas bajo circunstancias especiales siempre y cuando se abra un correo el cual pueda contener algún código malicioso específicamente diseñado para poder vulnerar la aplicación puntual en una versión determinada (así funciona la mayoría de los exploits), pero de ahí a afirmar que basta con que llegue un correo para que un equipo se infecte, es incluso hasta irresponsable diría yo y demuestra el total desconocimiento por parte de Smith Leay de cómo funcionan los servidores de correo y los sistemas de mensajería digital. No crean en esa afirmación ni un segundo. Reitero categóricamente que no es posible que eso suceda. Si hay algún purista del hacking, acepto que puede existir la remotísima posibilidad de que un MTA tenga una vulnerabilidad tal que basta con hacer llegar un mensaje infectado al servidor para que ese servidor se infecte, pero nunca un cliente de correos. Incluso puede ser que se ejecute algún código malicioso que infecte puntualmente a algún cliente de correos, pero para ello es requisito indispensable que al menos se abra el mensaje entrante, ya que ahí podría (en teoría) ejecutarse algún código que venga contenido oculto en ese mensaje. Pero con el simple hecho de que llegue a la bandeja de entrada es imposible. Esto es porque cuando llega un correo a la bandeja de entrada, significa que ese correo llegó al servidor (que puede estar ubicado en Jamaica, quién sabe) y el cliente de correos simplemente interpreta los datos que envía el servidor como una etiqueta para indicar que hay un mensaje nuevo en la bandeja de entradas. Para explicarlo de manera más simple: Supongamos que Smith Leay me quiera interceptar los mensajes de Whatsapp y Telegram y para ello envía un correo electrónico malicioso a mi dirección [email protected] utilizando su software ANTORCHA. Recordemos que este correo viene, según sus propias palabras, en forma de promociones o publicidad. Supongamos que mágicamente este correo se saltó los inteligentísimos algoritmos (diseñados por ingenieros expertos de Google) que tienen los filtros antispam de Gmail para detectar correos no deseados. Asumiendo esa improbabilidad, digamos que entonces ahora tengo un correo electrónico en mi bandeja de entrada el cual YA me infectó sin siquiera yo abrir el mensaje ¿cierto?. Pero ¿cómo me infectó si aún ni siquiera abro el mensaje, lo cual eventualmente haría que se ejecute el código malicioso que finalmente lograría leer mis mensajes privados de Whatsapp y Telegram? Esto es una falacia. No tiene otra explicación. Lo que argumenta aquí Smith Leay no tiene ningún sustento técnico y carece de toda credibilidad. Lo siento colega Smith, pero esto no tiene sentido. 8) “No era necesario que el usuario abriera el correo que se le había enviado. Sólo bastaba con que ingresara a la bandeja y luego el usuario utilizara aplicaciones tales como whatsapp y telegram. Esta información se podía observar en otro aparato”.

Siguiendo el ejemplo anterior, Smith Leay me envió un supuesto correo infectado, me llegó a mi bandeja de correo electrónico PERO AÚN NO LO ABRO. Es decir, el correo está ahí.. sin leer, yo lo he ignorado totalmente y ahora en mi celular abro Whatsapp. ¡SORPRESA…! ¡He sido hackeado! En ese mismo instante Smith Leay estará viendo mi Whatsapp en otro aparato. Aquí hay otra cosa que no cuadra: Resulta que para que este hackeo funcione, primero se necesita que la víctima tenga un celular tipo smartphone que soporte instalar Whatsapp y que soporte correo electrónico. Cómo se mencionó en el punto número 5, esta aplicación de Smith Leay también permite lanzar este ataque en teléfonos iPhone (iOS). Resulta que lo extraño es que este sistema operativo viene con una restricción de seguridad de fábrica y es que todas las aplicaciones corren en un sistema super restrictivo que se llama “sandbox” (los desarrolladores de aplicaciones móviles sabrán bien de lo que hablo) donde están restringidas y confinadas a ejecutarse aislada de otras aplicaciones. Esto significa que cada aplicación que se abre en el celular no se puede comunicar con otra a menos que se ejecuten en el mismo “sandbox” y para ello habría que cumplir con una serie de requisitos, partiendo con que ambas aplicaciones deban incluir una firma digital compatible entre sí, y eso solamente es posibile si ambas aplicaciones han sido creadas por el mismo desarrollador. Es decir, o Smith Leay debería haber creado él mismo tanto la aplicación de correos vulnerable como también haber sido el desarrollador de Whatsapp y Telegram. Algo un poco improbable creo yo, ¿no?. Para que el ataque que explica Smith Leay funcione en un iPhone, de alguna manera la aplicación de correos electrónicos que utilice el celular debe correr en el mismo sandbox que Whatsapp, y también que Telegram. Esto es imposible, a menos que el usuario haya ejecutado una cuestión que se llama JAILBREAK, donde básicamente rompe la seguridad del teléfono y permite instalar estas aplicaciones especiales sin la limitación de las restricciones impuestas por los sandboxes. El problema es que para hacer un Jailbreak se necesita que el teléfono tenga una versión de sistema operativo vulnerable (no todos los iOS se pueden “jailbreakear”) y lo otro es que el dueño del teléfono haya realizado este complejo proceso manualmente ya que es imposible hacerlo de forma remota y automática. Entonces, resumiendo: Smith Leay me envía un correo con publicidad (¡Hey Paulo, cómprate estos últimos lentes de sol marca RayBan a solo $50.000 pesos!), el correo se salta mágicamente todos los filtros antispam y antivirus de Gmail, cae en mi bandeja de entrada, yo no lo tomo en cuenta, ejecuto Whatsapp para hablar con mis amigos y este correo mágico automáticamente ejecuta un Jailbreak automático en mi iPhone (proceso que solo se hace manualmente, pero bueno…), elimina los sandboxes (no sé como, porque ni el FBI puede sin Jailbreak), accede a los datos de input/ouput de la aplicación Whatsapp y replica los datos en un servidor remoto. De película.

9) “El sistema fue evolucionando y fue denominado “antorcha”, inicialmente sólo capturaba texto. La información que se captaba se almacenaba en el servidor de la UIOE, en formato html” OK. Esto confirma mis sospechas. Se trata de un sistema Web entonces tal como predije en el punto 1 ya que está basado en formato HTML (Web). 10) “La información que se captaba se almacenaba en el servidor UIOE, en formato HTML. Yo no operaba la aplicación. Yo la diseñé y la entregué conforme a lo que me solicitaron y eso fue mejorando con el tiempo. El cabo Olave era quien descargaba la información. Inicialmente copiaba la información desde el servidor a un documento Word. El servidor se denominó airs.cl y su clave era 478712000. El dominio se compró en Nic Chile, ignoro el nombre de a quién se le compró”. Alex, si estás leyendo esto, te comento que en NIC hay una opción donde puedes ver fácilmente a nombre de quién se compró el dominio AIRS.CL. Figura un tal “Mario Parra”.

Incluso, con dos clicks más (algo que alguien como tú debiese saber, creo yo) se puede obtener un poco más de información sobre Mario Parra:

Concretamente, el servidor airs.cl está actualmente dado de baja:

Pero hay información que aún se puede obtener de este sistema. Ya sabemos que en NIC.CL aparece el nombre de Mario Parra, pero se puede consultar un poco más. Tenemos este servidor interesante así que hay que ver qué otra información contiene. Lo primero que hago es ir a Google y escribir site:airs.cl. Esto instruirá a Google a mostrarme todos los registros y enlaces que tenga guardados sobre el sitio airs.cl. Acá comienzan a salir algunas sorpresas:

Como se puede apreciar en la imagen superior, hay algunos links intersantes. ¿http://airs.cl/Wifi.html?, ¿http://airs.cl/Telegram.html?, ¿http://airs.cl/Wthatsapp.html? Naturalmente que hay que ver qué contienen esos links, ya que en la declaración se indica que el servidor utilizado por la aplicación ANTORCHA sería AIRS.CL y vemos que de forma oculta, aún hay indicios de que en este servidor se ha almacenado información relacionada con Telegram y Whatsapp (aun cuando aparece mal escrito, no es error mío ni de Google, si no del desarrollador (Smith)). Tanto airs.cl/Wifi.html como airs.cl/Wthatsapp.html no muestran nada porque al parecer el autor del sitio los eliminó. Podemos, no obstante consultar la caché de Google para que muestre como lucían esos links antes de ser eliminados. Para ello solo hay que dirigirse a Google y escribir: cache:airs.cl/Wifi.html. Este es el resultado:

Y si veo la caché de Google con el sitio de Whatsapp (cache:airs.cl/Wthatsapp.html veo esto:

Y el sitio Telegram.html, que no fue borrado aún, muestra esto incluso actualmente hasta el momento de escritura de este documento:

Esta página Web que dice “Chile Fundos” (¿¿??) tiene una foto de un campo con un logo de Telegram y un formulario que pide un número de celular, un e-mail y un código IMEI. Esto es lo mismo que dijo Smith Leay que le solicitaba su software para enviar los mensajes maliciosos y que justamente estaba alojado aquí en este mismo servidor AIRS.CL. Esto no puede ser una coincidencia creo yo. Lo más extraño de todo es que si uno hace click en uno de los links “normales”, por ejemplo http://airs.cl/Parcela1.html (el cual no tiene ninguna referencia a Whatsapp ni Telegram) se muestra un sitio donde supuestamente se está vendiendo un terreno, pero al piede página sale un nombre:

Alejandro Villanueva Carvallo, Celular y correo. Al hacer una búsqueda en Google de él, se muestra un perfil que tiene algunas cosas que llaman la atención:

Sin realmente saber si es esta persona la que figura al pie de página en AIRS.CL, curiosamente pareciera ser de Temuco y haber tenido relación con el área Agrícola en Temuco, al igual que Alex Smith. Dejaré esto ahí no más porque lo considero un antecedente anecdótico en todo este tema. Volvamos ahora al sitio Web http://airs.cl/Telegram.html que sería el mismismo ANTORCHA descrito por Alex Smith en su declaración. Sin ingreso a este sitio y lleno los datos del formulario con mi teléfono, mi email y mi IMEI y presiono “Enviar” (si, soy un suicida.. lo sé), adivinen que sucede… nada. La aplicación simplemente no hace nada. No es que se haya quedado “pegada” o tenga un fallo. Simplemente no hace nada en absoluto. Esto no me convence y me parece raro. Hasta este punto tengo tres teorías en mi cabeza: 1) Lo que estoy viendo es pura y total casualidad y no tiene nada que ver con lo que estamos investigando, a pesar de que el dominio “AIRS.CL” es el correcto. 2) Que Smith Leay haya preparado todo esto y sea una persona muy inteligente (y al a vez perversa) que simplemente se esté burlando de todos nosotros viendo como nos divertimos tratando de analizar esta información que el mismo preparó como distractor para ocultar el software verdadero que se comporta de una manera totalmente diferente a la que él ha

declarado y todo el tiempo nos ha estado mintiendo, siendo que en su declaración se enfoca en comentar sobre un software falso ya que el verdadero estaría protegido por Carabineros y esta sería solo una técnica de distracción. Nada raro considerando que aquí está operando nada menos que la sección de Inteligencia de la Policía. 3) Que Smith Leay haya realmente creado estos sitios Web y que le haya hecho creer a otras personas (incluyendo a Carabineros) que este sistema es la aplicación ANTORCHA. El problema con esta teoría es que, de ser cierta, no quedaría más que concluir que Alex Smith es una persona en extremo falsa, que inventa situaciones que no son reales solo para justificar sus escasos conocimientos frente a una institución que le estaría pagando un sueldo bastante alto y ante lo cual su única forma de validación sería mentir sobre la aplicación y todo el proceso, sabiendo la carga judicial que eso implica. No obstante, quiero ver porqué ese código del sitio Telegram.html no funciona. Tal vez está apuntando a un servidor oculto que no está disponible o que las claves de encriptación de la comunicación no son suficientemente seguras. Para eso voy a ver el código fuente de la página (un procedimiento que Smith Leay dijo que hacía al principio de este texto): Voy a poner el código completo acá en caso de que desaparezca de la Web pronto:

0&&parent.frames.length) { d=parent.frames[n.substring(p+1)].document; n=n.substring(0,p);} if(!(x=d[n])&&d.all) x=d.all[n]; for (i=0;!x&&i