Nuevo golpe de Anonymous, esta vez contra la Policía Nacional. Una lista con los nombres, apellidos, direcciones de email y DNIs de más de 5.400 funcionarios y agentes de la Policía Nacional se ha filtrado esta mañana en internet. La acción ha sido reivindicada por un grupo que asegura pertenecer al colectivo Anonymous. La cuenta de Twitter @FkPoliceAnonOps, asociada a los autores de la filtración, ha publicado diversos enlaces en los que se puede acceder a todos los datos filtrados. Teknatuas ha podido comprobar que varios de los nombres corresponden efectivamente a funcionarios de la Policía Nacional.

[Lea aquí: 'Ofensiva 'hacker': ¿quién está de verdad tras los ataques a la Policía y los Mossos?']

La filtración se ha producido tras el 'hackeo' de la web mupol.es, la mutua de la Policía Nacional, Mutualidad de Previsión Social de la Policía. La página aparece ahora mismo fuera de servicio. Fuentes policiales han confirmado a Tekanautas que están investigando lo ocurrido.

El autor del ataque a la web de la mútua policial y de la filtración de los datos ha publicado un mensaje en el que explica los motivos de la filtración

La publicación de los datos de los 5.400 funcionarios y agentes incluye sus contraseñas de acceso (cifradas) a sus credenciales en la página mupol.es, además de sus nombres completos, correos electrónicos y DNIs. De momento se desconoce si todos los datos filtrados están actualizados y en pleno funcionamiento, aunque como suele ocurrir en estas ocasiones es probable que una parte se trate de emails y contraseñas en desuso. Aún así, se trata de una filtración muy grave que llega pocos días después del ataque a la página web del sindicato de los Mossos d’Esquadra SME.

[¿Delito o "chapuza policial"? Arranca el juicio a la 'cúpula' española de Anonymous]

El autor del ataque a la web de la mutua policial y de la filtración de los datos ha publicado un mensaje en el que explica los motivos de la filtración. "'Cuerpo Nacional de Policía de España', habéis tratado de agredir a nuestros hermanos con acusaciones falsas que solo demuestran cuán podrida está vuestra institución. Acabarán libres porque aún creemos en la salud de la justicia en España, pero habéis desatado la furia de nuestras legiones y hoy vamos a la guerra. Hemos publicado una lista de miembros de vuestro cuerpo para que entendáis cuán fina es la cortina detrás de la que os escondéis".

(Foto: copsadmirer, Flickr bajo CC)

En su mensaje, los autores del 'hackeo' culpan a la compañía MarketiNet S.L., relacionada con la creación y mantenimiento de la web mupol.es, por sus pésimas medidas de seguridad que han permitido en parte la filtración de los datos.

"Hoy, con la ayuda de vuestros socios de MarketiNet S.L. (todavía seguimos tratando de comprender cómo esa compañía puede hacer páginas web y código para clientes tan importantes y de forma tan desastrosa - por cierto, por favor cambiad las credenciales de la base de datos "mupol/Mupo2003", todavía seguimos dentro del makldito servidor después de 2 semanas :))), aproximadamente las identidades de 5.400 miembros policiales serán volcadas en internet y hechas de dominio público, junto con sus DNIs, emails y contraseñas cifradas. El objetivo era mupol.es, una mutua para la Policía Nacional. No os tenemos miedo porque representáis todo lo que no debería existir en un mundo libre, vosotros deberíais tenernos miedo porque representamos la libertad y el poder de las masas".

En el mensaje, los 'hackers' de la web de la mutua policial aluden también a "Sprocket", el policía infiltrado en la investigación que ha llevado a juicio a los tres supuestos miembros de la cúpula española de Anoymous. "Sabemos quién es "Sprocket" y creemos que su vida diaria será dentro de poco mucho más desagradable", aseguran. El juicio arrancó el pasadó día 18 de mayo y ha quedado visto para sentencia. Los tres acusados se enfrentan a penas de hasta cinco años de cárcel cada uno, en un caso que, según la defensa, ha estado plagado de irregularidades.

Pésimas medidas de seguridad

Muestra de la mala política de seguridad de la web mupol.es es que las contraseñas filtradas de acceso al sitio estaban cifradas en MD5, un algoritmo criptográfico en desuso por haberse demostrado su vulnerabilidad en diversas ocasiones: "A pesar de haber sido considerado criptográficamente seguro en un principio, ciertas investigaciones han revelado vulnerabilidades que hacen cuestionable el uso futuro del MD5, muchos investigadores recomiendan su sustitución por algoritmos alternativos".

Muchas contraseñas usadas por los agentes de la Policía Nacional eran demasiado sencillas: "zaragoza", "ANIMAL", "gatoloco", "andrea", "250585"...

La fragilidad de MD5 se ha demostrado también en esta ocasión, pues en menos de media hora es posible romper las contraseñas de los más de 5.400 agentes y sorprenderse de nuevo, esta vez con la mala calidad de la mayoría de contraseñas usadas por los miembros de la Policía Nacional que eran usuarios de la mutua atacada: zaragoza, ANIMAL, gatoloco, andrea o 250585. Dada la poca seguridad demostrada en la creación de estas contraseñas, se infiere que muy posiblemente sus poseedores tuviesen pocas nociones de seguridad informática y cometiesen otros fallos básicos, como usarlas en otros sitios.

¿Relacionado con el 'hackeo' a los Mossos?

Desde la cuenta en Twitter @fkpoliceanonops, donde se ha dado a conocer la filtración, se mandan saludos a #HackBack y @gammagroupPR, nombre en clave y cuenta en Twitter respectivamente de Phineas Fisher, posible autor de la filtración de datos personales de 5.600 agentes del cuerpo de Mossos d'Esquadra, el 18 de mayo pasado. Los datos fueron robados de las redes del Sindicat de Mossos d'Esquadra.

La publicación de esta información se realizó el mismo día que empezaba en Gijón el juicio contra tres jóvenes acusados de pertenecer a Anonymous. El autor o autores de la filtración hackearon también la cuenta en Twitter del Sindicat de Mossos, donde escribieron diversos tuits que remitían a la cuenta @gammagroupPR, perteneciente a Phineas Fisher, supuesto autor del famoso robo y filtración de 400 Gb de datos a la empresa italiana Hacking Team, el pasado verano.