«Me llamo Alberto Daniel Hill. Soy el primer hacker procesado con prisión en Uruguay por un delito informático. Fui procesado por un supuesto crimen que jamás cometí. Un crimen que probablemente jamás sucedió. Las irregularidades, ilegalidades, y resoluciones basadas en argumentos ridículos fueron y son parte de un proceso carente de garantías. Este libro narra la historia que me cambió para siempre y fue un punto de inflexión totalmente inesperado en mi vida y también afectó la vida de mis seres queridos. Esta es mi historia», así presenta el libro su autor.
A continuación, un fragmento a modo de adelanto:
Un hackeo de película cómica
¿Porque me arrepiento de haber reportado los problemas mencionados? El siguiente texto es una traducción de lo publicado en el podcast más prestigioso a nivel mundial en lo que refiere a historias de hackers, “Darknet Diaries ”, en su episodio 25, donde se cuenta el inicio de la historia, una verdadera pesadilla. En realidad, este no es el inicio, todo comenzó varios años antes, con mi primer reporte en el 2014.
“En febrero de 2017, un proveedor de servicios médicos de Uruguay fue hackeado. El atacante robó un montón de registros de pacientes y luego lo usó para extorsionar al proveedor. Dijo que publicaría los registros de todos los que tenían VIH a menos que le entreguen bitcoins por valor de 60.000 dólares.
El proveedor médico trabajó con la policía para atrapar y arrestar a Alberto Hill, un uruguayo de 41 años. Alberto tenía toneladas de parafernalia de hackers y dispositivos electrónicos en su casa.
Estamos hablando de docenas de tarjetas de crédito, un montón de carteras bitcoins hardware, pendrives en abundancia con herramientas de piratería y virus en ellos, un escritor de tarjetas de crédito con muchísimas tarjetas en blanco, numerosos discos duros, computadoras, routers, impresoras y una máscara de Anonymous.
Alberto Hill admitió haber hackeado al proveedor médico, admitió ser dueño de todo este equipo e incluso admitió a la policía que envió el correo electrónico”.
No solo eso, sino que la Interpol también dijo que el supuesto responsable del “ataque” accedía a cuentas bancarias de otras personas y extraía dinero de estas.
Adicionalmente, Interpol afirmó a la prensa que la persona clonaba tarjetas de crédito.
Con esa información, suponiendo que fuera correcta, la policía hizo un gran trabajo arrestando a un peligroso ciber delincuente. Tendría que pagar por todos esos crímenes. El delincuente estaba causando mucho daño a personas inocentes.
Según la policía, rastrearon la dirección IP de un correo electrónico que contenía una extorsión que esa persona había enviado, y localizaron su ubicación. En realidad, rastrearon 2 IPs a partir del correo electrónico hacia el criminal… (suena extraño, al leer el comunicado de prensa espero que a la mayoría de la gente se le haya encendido una alerta sobre la veracidad de la información).
Yo soy Alberto Hill, estoy lejos de ser un ciber delincuente, la persona arrestada y destruida por la “justicia” y por los medios de desinformación por el supuesto hackeo. Si fuese realmente un delincuente, estaría viviendo la gran vida y no conocería ni sabría como son los niveles tan altos de angustia y de depresión que siento. Si fuese un delincuente hubiese aceptado las innumerables propuestas de “trabajo” de decenas de personas que conocí en la cárcel.
Esta es mi versión de la historia. Todo lo arriba mencionado es falso y en el expediente de la investigación no hay nada que sustente esas afirmaciones sobre el caso. Lo único cierto es mi confesión sobre el envío del correo electrónico. Pero falta aclarar que fue una falsa confesión, pues la hice bajo mucha presión y angustia, buscando proteger a mis seres queridos. Por más de haber cumplido con mi parte del trato confesando algo que no hice, igual destruyeron psicológicamente a quien era mi novia, causándole daños terribles que sufre hasta del día de hoy, lo cual me provoca mucha tristeza y culpa. Lo que le hicieron a mi expareja es imperdonable y fue algo sin sentido, sin necesidad, sin coherencia y solo demuestra la incompetencia de los investigadores del caso.
No tengo respuestas para todo lo sucedido. A modo de ejemplo, desconozco los motivos por los cuales la policía declaró a la prensa de que yo tenía un pasado delictivo y accedía y robaba dinero de cuentas bancarias de otras personas. Hacer esas declaraciones implican la posibilidad de ser demandados civilmente y no encuentro necesidad alguna de ensuciar el nombre de una persona de una forma tan barata y cobarde. (Ver capitulo “Preguntas sin responder”).
Esta es la historia de alguien que fue usado como un chivo expiatorio en una situación que pudo y debió haberse evitado. Tal vez no se quiso evitar. El CERT de Uruguay, a pesar de negarlo ante la justicia, estaba al tanto de determinados problemas graves de seguridad en el sistema supuestamente hackeado y podía eventualmente al menos presionar o colaborar con el prestador de servicios para que se solucionaran los críticos problemas de seguridad que tenía. El trabajo con datos sensibles como los de la salud, merece medidas de seguridad máxima y no está permitido que se opere sin que la seguridad sea gestionada con la máxima rigurosidad.
Si la base de datos del prestador de servicios se vio comprometida, debería haber notificado a todos los posibles socios sobre el hecho. Así está establecido en la normativa vigente.
En ningún momento se cuestionó la omisión del CERT de Uruguay ni la forma en la cual actuó la mutualista. Hicieron un excelente trabajo en desviar la mirada de ellos y hacer que todos los ojos solo estuvieran en el “hacker”.
No me voy a cansar de repetir que lo que sucedió fue algo que se debió y se pudo haber evitado perfectamente. Si uno tiene la ventana de su casa abierta durante 3 años y alguien le avisa que es riesgoso, pero no hace nada, es solo cuestión de tiempo para que alguien entre a robar por la ventana.
Esta es la historia de un trabajo vergonzoso, donde todo parece no ser más que un espectáculo mediático, que un delito relacionado con tecnologías de la información.
En estas hojas se narra una historia que es coherente y consistente con la evidencia que existe. La historia inicial relatada por la unidad de comunicaciones del Ministerio del Interior parece sacada de una revista de farándula donde está todo armadito para las fotos, desviando los ojos de cualquier otra cosa. Me agarro la cabeza al hacer referencia a la “evidencia”, ya que no son más que un montón de papeles que no cumplen con condiciones mínimas para ser consideradas “evidencia” y no entiendo como la justicia las toma como verdades absolutas en lugar de poner en duda su validez, que es totalmente cuestionable solo con sentido común. Además, la “evidencia” demuestra que en el supuesto “ataque”, yo no accedi ni altere absolutamente nada en los sistemas del proveedor de servicios médicos.
Es así como cualquier persona con capacidades analíticas básicas podía encontrar inconsistencias en el relato de la policía y en toda la historia en la que me vi envuelto por actuar con las mejores intenciones.