El hacker que sabía demasiado

sábado, 29 de septiembre de 2018
por Jorge Rojas
Crónica
El Mercurio

Días antes de que fuera detenido, a comienzos de diciembre de 2017, Michael Hudson Gómez, de 35 años, exalumno de medicina de la Universidad de Buenos Aires y hacker autodidacta, llamó a su familia en Chile para contarle que se iba de viaje a Rusia:

-Tengo que ir sí o sí, pero no puedo hablar nada más -le dijo por teléfono desde Argentina a su hermano, que no entendía el porqué del apuro ni el destino.

Se suponía que la familia pasaría las fiestas de fin de año en Viña del Mar, de donde son originarios, pero el viaje de Michael arruinó los planes. Una semana más tarde volvió a comunicarse. Esta vez, desde Moscú:

-Estén atentos a las noticias de Rusia -les dijo, según recuerda su familia.

La advertencia los preocupó. Más aún cuando, dos días después, los diarios del mundo entero hablaban de un atentado terrorista a la catedral de Kazan, en San Petersburgo, que el Kremlin había frustrado con ayuda de la CIA y que Vladimir Putin había llamado a Donald Trump para agradecerle por la información. Los Hudson Gómez estaban seguros que Michael no era terrorista, pero una pregunta los inquietó: ¿Podía ser Michael un agente? Un cercano a la familia dice hoy: "Cuando empezamos a cachar lo que estaba haciendo nos preocupamos, porque estaba persiguiendo terroristas y esos gallos no son como acá en Chile, allá matan al que pillan".

Hudson volvió a llamar desde Italia dos días después de la noticia. Ya era casi Navidad. Dijo que estaba bien y luego desapareció de nuevo. Un par de días más tarde, cuando no volvieron a saber nada de él, un familiar se presentó en el Ministerio de Relaciones Exteriores y dejó constancia de que estaba desaparecido. A las pocas horas le informaron que había sido detenido en Venecia, acusado de haberle robado 185 euros a un ciudadano inglés en un hotel.

La trama era confusa: ¿Por qué un hacker chileno que persigue terroristas en Rusia para la CIA es acusado de un robo en Italia? A los pocos meses, un grupo de hackers llamado The Shadow Brokers, que estuvo vinculado en 2016 con el hackeo a la Agencia Nacional de Seguridad (NSA), comenzó a pedir su liberación: "Freedom Mr. H", fue el primer mensaje que enviaron. Los Hudson Gómez no encontraban explicación.


Michael Hudson soñaba con ser doctor, pero el día en que fue a dar la Prueba de Aptitud Académica específica de Biología, en diciembre de 2002, algo pasó: "Tenía mal anotada la hora en que empezaba y llegué cuando ya la estaban terminando. Sin eso era imposible postular. Me deprimí y prácticamente mi familia me obligó a dar las otras pruebas", dice al teléfono desde Italia.

Con todo, cuenta que ponderó más de 700 puntos y que entró a estudiar ingeniería Biomédica en la Universidad de Valparaíso, pero al finalizar el año 2003 abandonó. Sería la primera deserción de otras dos que vendrían: la Fuerza Aérea al año siguiente e ingeniería en Informática, en la Universidad Federico Santa María, donde estuvo un semestre. Le encantaba la programación, pero se aburría con las matemáticas, explica.

En paralelo al sueño de la medicina, Hudson había comenzado a desarrollar su talento en la computación desde que era adolescente. Practicaba en la sala del colegio y a los 16 años le quemó un equipo a un amigo, de tanto ocuparlo. Recién a los 19 tuvo su primer computador. Fue el mismo que debió dejar en su casa cuando, según cuenta, se fue a la Legión Extranjera, en Francia, luego de abandonar informática. De acuerdo con su relato, se enroló allí tras descartar la pesca de cangrejos en el mar de Bering y acarrear cabras en el Tíbet: "Fue como un retiro espiritual", resume.

Dice que en la Legión Extranjera estuvo un par de meses. Pasó las pruebas físicas y psicológicas, "y cuando estaba listo para firmar por cinco años, sin poder renunciar salvo en caso de muerte o incapacidad, me arrepintí y regresé a Chile". Entonces se matriculó en medicina en la Universidad del Mar, el mismo año en que la institución entró en crisis por denuncias de lucro, entre otras, que dejaron a cientos de alumnos afectados: "No solo viví la crisis de la universidad, sino que me puse medio anárquico y la hackié", asegura.

El 29 de mayo de 2008, en la pantalla de inicio de la página web de la universidad apareció una foto de dos líneas de cocaína, mientras que en paralelo, al jefe de informática le llegaban mensajes de una cuenta Gmail de un usuario identificado como Apocalipsis.66. El hecho fue denunciado a la policía por el subdirector de la carrera de medicina, Álvaro Retamales, pero nadie sabría, hasta dos años después, que Hudson estaba detrás del ciberactivismo.

Tras ese episodio, cuenta que viajó a Argentina junto a otros cuatro compañeros para inscribirse en la Universidad de Buenos Aires. Al principio vivían todos juntos, y como el dinero escaseaba, echó mano a sus habilidades computacionales para poder viajar a Chile sin pagar, utilizando millas de la aerolínea Lan, que obtenía hackeando el sistema de la empresa, según confesó luego a la Brigada del Cibercrimen.

-¿Cuántas millas hackeaste?

-No sabría decirte, pero muchas. Yo no tengo nada que ver con ataques como phishing: no le robaba millas a un cliente mediante engaño, sino que hubo un problema de los servidores, al cual burlé.

En simple, lo que Michael Hudson hizo fue encontrar una vulnerabilidad en la página web, que le permitió acceder a la base de datos de los clientes de Lan Pass, y una vez adentro, cambiar los correos electrónicos. Explica que luego ponía la opción de recuperar contraseña, la que era enviada al nuevo mail que ingresaba, y así obtenía las millas. En esos casi dos años, entre el 2008 y el 2010, viajó más de diez veces de Argentina a Chile, en primera clase, según consta en su declaración policial.

Al igual que el hackeo de la página de la Universidad del Mar, el detalle de las operaciones de las millas no se sabría hasta enero de 2010, cuando fue detenido por detectives de la Brigada del Cibercrimen de Valparaíso, por otro caso en el que se lo investigaba.


Michael Hudson no recuerda exactamente la fecha, pero a fines de diciembre de 2009, estando de vacaciones en Viña del Mar, fue contactado por un abogado amigo con un pedido muy especial: hackear una cuenta de correo de su esposa, también abogada, y averiguar si le era infiel. Hudson se demoró muy pocos días en vulnerar la seguridad del computador de la mujer y encontró una cuenta de Gmail en la que ella mantenía comunicación con otro hombre, enviándose mensajes amorosos y fotos de viajes que la pareja había realizado en secreto. Entonces, pensó que tal vez era mejor idea pedirle dinero a la abogada, para no mostrarle la evidencia a su marido.

-Fue un error, porque estoy en desacuerdo con ese tipo de actividades, que se alejan mucho de lo que me gusta hacer -dice hoy a "Sábado".

De acuerdo a la carpeta investigativa de la policía, Hudson pidió 1 millón 300 mil pesos. Se hizo una cuenta de Gmail a nombre de una persona llamada Luciana Montalbi y comenzó a escribirle a la abogada para acordar la entrega. Se demoró cuatro días en establecer un punto de encuentro, tiempo en el cual la pareja denunció las amenazas a la Brigada del Cibercrimen de Valparaíso, que ideó hacer una entrega vigilada del dinero para encontrar al hacker.

Así, el 26 de enero de 2010, Michael Hudson fue detenido infraganti en un auto, con solo 150 mil pesos que le habían pagado. Lo acompañaban dos ciudadanos argentinos, familiares de la pareja de su mamá, que estaban de vacaciones en Viña del Mar, y que no tenían nada que ver con el plan. Hudson cayó con el computador prendido, conectado a un aparato de internet móvil, y con el correo abierto en la cuenta de la mujer, a quien acababa de enviarle un mensaje: "Están en serios problemas", fue lo último que le escribió tras descubrir que en la bolsa había una ínfima cantidad de la plata que había pedido.

A las pocas horas, un familiar suyo llegó al cuartel de la PDI para saber qué había sucedido. "La mamá de Michael estaba de muerte. Le dijo que atinara, que se preocupara de estudiar. Él decía que había sido casi como una jugarreta, una tontera", recuerda ese mismo familiar.

Al día siguiente, la prensa erróneamente presentó el caso como si se tratara de una banda internacional de hackers. Hudson fue puesto en libertad con firma mensual y sin arraigo nacional, mientras duraba la investigación. En todo ese tiempo, dice, continuó con sus estudios de medicina en Argentina y cada fin de mes viajaba a Viña del Mar para cumplir con la medida cautelar.

El informe de la Brigada del Cibercrimen recoge su declaración, en la que explicó cómo hizo el hackeo: "Desde el año pasado comencé a programar un troyano con amigos de 'turkya' con los cuales me juntaba a través de ICQ o de IRC". Agregó que el virus era un "gusano" que se propagaba a través de los contactos de mail de las personas infectadas y que eso le daba control total de los equipos. Y así llegó a las cuentas de la abogada.

Los policías que lo interrogaron, le preguntaron también por el hackeo a la página de la Universidad del Mar y él asumió su responsabilidad: "Lo hice porque yo estudié medicina en dicha universidad, la cual encontraba pésima, tanto en su grupo docente como académicamente", declaró. Lo mismo ocurrió con las millas de Lan, aunque en ese caso la aerolínea no se querelló: "Llegué a un acuerdo con un gerente, al que le informé cuál era la debilidad del sistema, como si fuera una pequeña asesoría de seguridad informática", asegura hoy.

Al principio, el fiscal lo acusó de extorsión y de delitos informáticos, pero luego la causa fue catalogada como amenazas. En septiembre de 2010, Michael Hudson fue invitado a dar una charla en Ekoparty, un evento de ciberseguridad realizado en Argentina, donde habló de su experiencia: "Camino equivocado, la verdadera historia de un Black Hat", se llamaba su conferencia. Allí contó detalles de su detención. Un año más tarde, el 4 de agosto de 2011, el juzgado de garantía de Valparaíso decretó su sobreseimiento. La causa terminó con una suspensión condicional y con prohibición de acercarse a la víctima durante un año.

Luego de eso, cuenta, inició una relación de cooperación con algunos detectives de la brigada del cibercrimen de Valparaíso. "Extraoficialmente, hice un par de cosas. Yo soy un civil, no pertenezco a Investigaciones, pero la gente que me lo pidió se saltó ese tipo de protocolos, por eso digo que fue extraoficialmente". Hudson agrega que el punto cúlmine de esa relación fue la charla que en octubre de 2013 dio en la Universidad Federico Santa María, en el aniversario de la brigada. De ese encuentro, el único recuerdo que hay es una fotografía en la que él aparece con el jefe de la PDI de Valparaíso y el director de la sede de Viña del Mar de la universidad. La misma imagen que hace algunas semanas divulgó el grupo de hackers The Shadow Brokers para pedir su liberación en Italia.


Desde hace diez años que Michael Hudson vive en Argentina. Dice que fue un buen alumno en medicina, en la UBA, y que gracias a eso un par de profesores lo invitaban como ayudante en algunos procedimientos hospitalarios. Estando allí comenzó a mezclar sus habilidades médicas con las computacionales. Le gustaba testear equipos que se conectaban a la red y analizarlos cuando no estaban siendo ocupados. Buscaba la forma de hackearlos remotamente, con autorización, para perfeccionar los sistemas de seguridad. Fue una época de redención, en la que -según describe- se transformó en un hacker bueno, de 'sombrero blanco' como se dice en el rubro. "Practicaba en los hospitales, sin hacer daño a nadie y solo con buenos fines. Quería ver cómo funcionaban las máquinas si eran atacadas. Algo parecido a lo que se hace en la práctica real cuando te piden que hagas un test de penetración en algún sistema".

Y así fue como Hudson fue hallando debilidades. De eso quedó registro en algunas de las muchas conferencias en las que participó en Estados Unidos. Estuvo tres veces en Black Hat y dos en Defcon, ambas realizadas en Las Vegas. "A esos lugares nadie te invita. Tú tienes que presentar un paper sobre un tema, con toda la parte técnica, y ahí ven si te aceptan". En una de ellas, por ejemplo, expuso sobre cómo hackear un tomógrafo. Hudson descubrió que la información pasaba desde la máquina al computador por un túnel, sin ningún tipo de encriptado, y allí intentó vulnerarla. "Hice un ataque en el medio, desde ahí se podía capturar la imagen y cambiarla por otra. Imagínate el desastre que significaba eso", explica.

En una de las últimas charlas que dio, en una conferencia organizada por DragonJAR, una empresa colombiana de ciberseguridad, Hudson habló de otro aparato médico vulnerable. La exposición se titulaba "Números de terror, atacando equipos de anestesia en quirófanos". En un video que circula en YouTube, se lo puede ver exponiendo, vestido con una camisa verde fluorescente. Decía haberse conectado al servidor de un hospital y haber entrado en el sistema de un equipo de monitoreo de signos vitales de un pabellón, una máquina clave para el anestesiólogo. Desde allí podía alterar los valores, lo que podría ser mortal durante una operación. Hudson le escribió dos correos a los desarrolladores para alertarlos, pero nunca le respondieron: "no les estaba pidiendo plata, ni bitcoin", dice en el video. "Inyectar códigos y cambiar parámetros puede ser un desastre", agrega.

Si bien las charlas sobre seguridad le dieron un estatus dentro del mundo hacker, también fueron las culpables de que fuera suspendido por cinco años de la carrera de medicina, cuando le faltaban cuatro ramos para egresar. Cuenta que en 2016, mientras estaba en Black Hat, en Las Vegas, un compañero lo puso presente en una asignatura y lo descubrieron. "Me afectó un montón, no lo pasé muy bien... Me condenaron prácticamente a muerte, así que todavía estoy esperando solucionarlo. Ni siquiera fue por un examen, que es algo grave, fue por un 'presente'", se lamenta.

Pese a estar fuera de la universidad, Hudson relata que continuó ayudando a algunos profesores, especialmente en el hospital de Rivadavia, donde hizo turno de guardia durante los días sábados. "El resto de la semana me dedicaba a mis proyectos informáticos: una empresa de ciberseguridad llamada Chap, y otra de nombre Introexon, donde desarrollaba un sistema de administración hospitalaria". En ambos proyectos estaba asociado con su hermano y otros amigos: "Michael es un superdotado", dice uno que estaba vinculado al negocio.

A fines del año pasado, sin embargo, los proyectos quedaron inconclusos. En noviembre, mientras participaba desde Argentina en una competencia online de hacker organizada por Synack, una compañía de ciberseguridad fundada por Jay Kaplan y Mark Kuhr, exagentes de la NSA, Hudson dice haber sido contactado por una persona que se habría presentado como un miembro de una agencia de seguridad: "No era la primera vez, el asunto empezó cuando fui a Estados Unidos, a Las Vegas. Ahí comencé a trabajar en algunas cosas para el Servicio Clandestino Nacional (NCS), que son los servicios secretos de la CIA".

Luego de ese contacto, en diciembre de 2017, el agente le habría pedido viajar a Rusia, para evitar un atentado terrorista en una iglesia de San Petersburgo.

-¿En qué consistía tu trabajo?

-Soy analista. Lo hago remotamente desde donde esté. Por mi pasado militar, también trabajo en terreno. Y justamente eso fue lo que pasó en Rusia.


Lo primero que Michael Hudson supo al llegar a Moscú fue que en adelante se llamaría "Mister H": "La CIA me puso así", dice. Lo segundo fue su misión: "Éramos cuatro personas. Obtuvimos información de la fecha del atentado, el tipo de explosivo, y el target de la gente que iba a ir a la iglesia ese día. Era una célula de ISIS que llevaba un buen tiempo recopilando información. Le entregamos un informe a gente del Kremlin y se frustró el atentado", agrega.

No hay forma de comprobar si la historia que cuenta Hudson es verdad. Él lo sabe. El único respaldo que tiene para acreditarla, es la publicación que salió en la prensa, donde se dio cuenta de cómo se evitaron los ataques. Pero claro, allí no aparecía su nombre, ni el de sus compañeros. Una obviedad, aclara, porque hasta entonces el grupo seguía siendo un team clandestino. Fue la misma noticia que vio su familia en Chile cuando comenzaron a preocuparse por él.

Según su relato, Michael Hudson viajó luego de Rusia a Italia, donde debía realizar otra misión: alojarse en un bed & breakfast para entrar a la habitación de un ciudadano inglés que presuntamente financiaba a terroristas a través de transacciones de criptomonedas. Hudson debía generar una situación para sacarle información del celular, usando un aparato USB, pero algo salió mal. Así lo recuerda él: "Accedimos remotamente al computador del hotel, se desactivaron las cámaras, se desbloquearon las puertas de las habitaciones, entré a la pieza de esta persona, conecté el dispositivo en el celular, pero él se dio vuelta, me vio y quedó la cagada. Gritaba que no quería que le robara y me lanzó 185 euros. Salí de la habitación y a los siete minutos llegó la policía. Di un falso testimonio de que a mí también me habían robado. Nos llevaron a los dos al aeropuerto y me tuvieron todo el día. A mí me soltaron como a las 10 de la noche, y al otro día, cuando iba a tomar un avión a Bali, me detuvieron. Dijeron que era el culpable de un robo".

A los cuatro días, Hudson llamó a su familia para contarles que estaba preso. Les dio un número de teléfono de su defensor y así fue como los Hudson Gómez comenzaron a armar la historia. Estuvo seis meses sin recibir visitas, salvo la de su abogado, hasta que su hermano viajó hasta Italia y lo visitó en la cárcel.

Fue luego de eso que un grupo de hackers que se hacía llamar The Shadow Brokers comenzó a pedir su liberación a través de Twitter. Dijeron que Michael Hudson era "Mister H", que había dado charlas en la PDI, que trabajaba para la CIA y que estaba preso injustamente. Para hacer visible su petitorio, los hacker filtraron datos de más de 50 mil tarjetas de crédito de clientes bancarios chilenos; la gran mayoría de ellas estaban desactivadas.

Hudson asegura que no supo nada de eso hasta el fin de semana pasado, cuando salió en libertad tras estar nueve meses preso. Dice que por recomendación de su abogado, se declaró culpable del robo y así aceleró el procedimiento. Le dieron tres años, pena que puede cumplir en libertad, pero firmando todos los días en un cuartel de la policía: "A los The Shadow Brokers los conocí cuando no eran criminales. Antes de que hackearan la NSA y comenzaran a vender la información. Agradezco que me hayan dado una ayuda, pero no me gustó que afectaran a una parte crítica de los chilenos. No estoy de acuerdo en absoluto con eso y si puedo ayudar para prevenir este tipo de cosas, lo voy a hacer".

Hudson aclara que en los Shadow Brokers no hay ningún chileno vinculado y que antes de adquirir ese nombre, también fueron agentes del servicio clandestino de la NCS. "Son reales, no son simples papagallos, no deberían tomarlos tan a la ligera", explica. Con todo, los Shadow Brokers anunciaron su retiro de Chile hace algunos días, antes de su liberación. "Gracias Chile por ayudar, nos retiraremos", escribieron en una cuenta de Twitter.

-Esto es de película.

-Parece una película, pero muchas películas están inspiradas en la vida real.