¿Qué es Guacamaya, el grupo que hackeó a la Sedena?

ACTUALIZACIÓN, 3 de octubre de 2022, 10:24 am: Una versión previa de este artículo afirmaba que el Grupo Guacamaya había extraído 6 terabytes de información a la Sedena mediante la explotación de una vulnerabilidad conocida como Proxysell cuando en realidad el grupo utilizó la explotación de una vulnerabilidad del servicio de correo electrónico Zimbra. Esta versión corrige este error. Ofrecemos disculpas a nuestros lectores.

“¡Aquí, en nuestro hogar, / se congregan los mundos: / el águila del norte, / la guacamaya del centro / y cóndor del sur!”, dice un poema enviado por el grupo que se adjudicó el hackeo a la Secretaría de la Defensa Nacional (Sedena) de México. El poema, un video y un pronunciamiento fueron enviados al sitio Enlace Hacktivista el 19 de septiembre de 2022 junto con 10 terabytes de información de distintos ejércitos latinoamericanos por parte del grupo Guacamaya. 

Guacamaya es el nombre con el que se autodenomina un colectivo de hacktivistas anónimos, hackers cuya principal motivación es promover una causa política mediante la vulneración de los sistemas de gobiernos y empresas. El robo de 6 terabytes de información al ejército mexicano no es el primer hackeo que reivindica este grupo. 

Compañías mineras de Guatemala, Ecuador, Brasil y Chile, petroleras venezolanas y agencias estatales como la Fiscalía de Colombia y el Ejército chileno han visto sus datos disponibles en internet gracias a esta organización. La Sedena de México, la Policía Nacional Civil de El Salvador, el Comando General de las Fuerzas Militares de Colombia, la Fuerza Armada de El Salvador, el Comando Conjunto de las Fuerzas Armadas de Perú siguen sin ver su información publicada en internet, pues actualmente está sólo disponible para periodistas e investigadores. 

El medio mexicano Latinus hizo públicos algunos de los documentos presuntamente extraídos por Guacamaya a la Sedena. El presidente mexicano Andrés Manuel López Obrador confirmó en su conferencia matutina el hackeo a la secretaría y aseguró que los culpables de este incidente debían tratarse de una agencia o un grupo del extranjero. 

“Filtramos sistemas  militares y policiales de México, Perú, Salvador, Chile, Colombia y entregamos esto a quienes legítimamente  hagan lo que puedan con estas informaciones”, escribe el grupo Guacamaya en el pronunciamiento enviado a Enlace Hacktivista.

El método de Guacamaya

Mientras que los ataques a distintos ejércitos de países centro y sudamericanos, como los de Chile y Colombia, fueron realizados a través de la explotación de un conjunto de vulnerabilidades de Microsoft Exchange, el caso de la Sedena es distinto. Guacamaya explotó una vulnerabilidad del servicio de correo electrónico Zimbra.

En una explicación del hackeo publicada en el sitio Enlace Hacktivista, Guacamaya pormenoriza el ciberataque a la Sedena: 

“Todas las demás filtraciones fueron descargadas con Proxyshell como se ve en el video, pero SEDENA fue con una vulnerabilidad antigua de Zimbra. Fue simplemente usar esto para explotar la vulnerabilidad y subir una webshell, y luego usar la webshell para descargar todos los correos de: /opt/zimbra/store. Ya había muchas otras webshells allí, con fecha desde el 5 de Julio (la fecha puede ser fácilmente cambiada con touch -t pero también está documentado que en Julio se empezó a explotar muchos servidores de Zimbra) y vimos que otros hackers también estuvieron descargando los correos a la vez”.

Hiram Camarillo, especialista en ciberseguridad de Seekurity, dijo que resultaba difícil de creer que la Sedena no hubiera detectado que 6 terabytes de información estaban siendo extraídos de sus sistemas.

Es demasiada información. Seis teras que se estén transmitiendo desde tu red hasta internet debe levantar las alarmas”, dijo.

Abya Yala

Guacamaya ha hecho cuatro entregas de información a Enlace Hacktivista, un sitio de internet que busca recopilar información sobre la historia del hacking y que ofrece un espacio para que los hackers hagan públicas sus filtraciones. 

En las cuatro entregas, Guacamaya ha añadido pronunciamientos sobre las motivaciones de sus hackeos. El grupo llama en todos sus mensajes al continente americano como Abya Yala, el nombre que el pueblo Cuna de Panamá y Colombia le daban a este territorio y que ha sido adoptado por diversas organizaciones y pueblos indígenas para hablar de América, por considerar a este último un nombre europeo.     

En todos sus mensajes, el colectivo adopta una postura a favor de la naturaleza, los pueblos indígenas y afroamericanos que, según la perspectiva del grupo, han sido sometidos desde que los españoles, portugueses e ingleses conquistaron buena parte del continente americano en el siglo XVI.

“El llamado "Norte Global" con su proyecto civilizatorio desde 1492 y la creación de estados obedientes al imperialismo norteamericano, ha convertido Abya Yala en la gran despensa de los mal llamados recursos naturales”, publica Guacamaya en su primer pronunciamiento hecho en marzo de 2022.  

¿Hacktivismo?  

Para Hiram Camarillo, Guacamaya se trata de un grupo de hacktivistas radicados en países latinoamericanos, que han ido contando su historia desde su primera revelación, hace poco más de seis meses y cuya motivación ha sido únicamente de protesta y posicionamiento político.   

“Sí son hacktivistas. Hasta ahora toda la información que han publicado no la han vendido. Todo su discurso y sus actividades han sido siempre de hacktivismo”, dijo.

Pero Jorge Osorio, consultor de Consultores en Seguridad de la Información (CSI), es más escéptico acerca de las motivaciones de Guacamaya.  De acuerdo con el especialista es muy difícil conocer con precisión tanto la conformación como las motivaciones de este tipo de grupos.

“Algunos grupos venden sus servicios a cualquiera que lo pueda pagar, ya sea por un interés político o de un Estado-nación”, dijo.

rodrigo.riquelme@eleconomista.mx