Espa√Īa, M√©xico, Colombia, Chile, Ecuador, Panam√°, EE.UU.... la lista es casi interminable. Todos estos pa√≠ses han contratado a la empresa italiana Hacking Team, dedicada a infiltrar dispositivos con fines de vigilancia y espionaje. Tras el hackeo masivo de la empresa, que ha resultado en 400GB de emails e informaci√≥n filtrada, surgen las preguntas delicadas: ¬Ņpara qu√© utilizaban los gobiernos esta tecnolog√≠a de vigilancia? ¬ŅEspiaban a sus ciudadanos? ¬ŅDe forma masiva? ¬ŅLo hac√≠an legalmente? Son dudas muy graves que los gobiernos a√ļn no han despejado.

Advertisement

Un hackeo masivo

Se trata de una filtraci√≥n de enorme importancia: revela las relaciones de decenas de gobiernos con una empresa privada dedicada al software de espionaje. El Centro Nacional de Inteligencia (CNI) o la Polic√≠a Nacional en Espa√Īa, gobiernos de varios estados en M√©xico (adem√°s de organismos nacionales en ese pa√≠s como la Polic√≠a Federal o las secretar√≠as de Seguridad P√ļblica, de Marina o de Defensa Nacional), el FBI o la Drug Enforcement Administration (DEA) en Estados Unidos... todos compraron en alg√ļn momento el producto estrella de Hacking Team: un malware llamado Remote Control System (RCS) que, tal y como muestran los emails filtrados, permite infiltrar m√≥viles y ordenadores para controlar comunicaciones a trav√©s de email, WhatsApp o Skype.

‚ÄúPara entendernos, han pillado a Hacking Team con la carretilla llena: ten√≠an mucha informaci√≥n sobre sus clientes y mucha de ella poco o nada cifrada. Eso ya de por s√≠ es muy delicado‚ÄĚ, explica a Gizmodo en Espa√Īol Vicente Dom√≠nguez, ingeniero inform√°tico con experiencia en seguridad que ha tenido acceso a los emails y documentos filtrados.

Advertisement

Se desconoce de momento qui√©n est√° detr√°s del hackeo de la compa√Ī√≠a italiana. Motherboard asegura que es obra de un hacker que se autodenomina Phineas Fisher, quien se ha declarado responsable de la filtraci√≥n, y tambi√©n del hackeo previo de un competidor de Hacking Team, la empresa Gamma International, que comercializaba un producto de espionaje similar al RCS llamado FinFisher. C√≥mo lo han hecho es un misterio. El propio Phineas Fisher asegura que pronto lo explicar√°, pero robar 400GB de informaci√≥n no es sencillo. ‚ÄúMi teor√≠a es que ha tenido que utilizar directamente un disco duro. Son much√≠simos datos. Lo m√°s sencillo es algo f√≠sico, llegar al data center, al servidor de copias, conectar un disco, copiar e irte‚ÄĚ, dice Dom√≠nguez.

¬ŅQu√© revelan las filtraciones?

En los emails y documentos filtrados figuran las facturas que diferentes organismos, agencias y gobiernos han pagado a Hacking Team por la prestaci√≥n de sus servicios. Con la Polic√≠a Nacional espa√Īola, por ejemplo, el contrato parece no estar ya vigente, pero con el CNI s√≠, y se detallan varias facturas desde el 2010 por un valor total de m√°s de 200.000 euros en concepto de instalaci√≥n y mantenimiento del software Remote Control System (RCS). Entre ellas, figura un contrato de 48.000 euros para utilizar un portal capaz de lanzar ataques de ‚Äúd√≠a cero‚ÄĚ, es decir, inyectar malware gracias a vulnerabilidades en un programa o equipo con el objetivo de extraer informaci√≥n sin conocimiento de los usuarios. Igual que con el CNI, los datos muestran facturas con decenas de organismos y agencias en pa√≠ses de todo el mundo.

Advertisement

Debajo, un gráfico con los ingresos de Hacking Team por país. México está, con diferencia, muy por encima del resto:

La informaci√≥n filtrada demuestra por tanto que esos contratos existieron (y existen), lo que no revela de momento es para qu√© han utilizado exactamente los gobiernos el software de espionaje de Hacking Team. Y eso abre muchas dudas. Dudas que, seg√ļn pol√≠ticos, activistas y abogados, los propios gobiernos deber√≠an despejar.

Advertisement

El CNI: ‚Äúsi es preciso daremos explicaciones seg√ļn prev√© la ley‚ÄĚ

El Centro Nacional de Inteligencia ha confirmado a Gizmodo en Espa√Īol que, efectivamente, ‚Äúexiste una relaci√≥n contractual con Hacking Team‚ÄĚ y que se trata de una relaci√≥n ‚Äúregida por la Ley de contrataci√≥n p√ļblica, por un lado, y la Ley 11/2002 por otro, que regula la actividad concreta del CNI‚ÄĚ. Ante la necesidad o no de dar explicaciones sobre este contrato, el CNI se√Īala que ‚Äúsi es preciso hacer una aclaraci√≥n, se har√° seg√ļn prev√© la ley y sus √≥rganos‚ÄĚ.

Advertisement

Traducido: lo podrían hacer, pero de momento no lo contemplan.

Joan Tard√† i Coma, diputado del grupo ERC-RCat-Catalunya S√≠, fue ayer el primero en exigir al gobierno a trav√©s de una petici√≥n escrita dar explicaciones en el Congreso sobre el asunto. Tard√† pide que se aclare el n√ļmero de contratos, su finalidad, coste y, sobre todo, si se ha utilizado la tecnolog√≠a para espiar a ciudadanos. Si es as√≠, ¬Ņhab√≠a autorizaci√≥n de un juez? ¬ŅSe ha realizado todo todo en base a la legalidad vigente?

‚ÄúSi estos contratos se han pagado con dinero p√ļblico, alg√ļn tipo de explicaci√≥n tienen que dar‚ÄĚ, se√Īala a Gizmodo en Espa√Īol David Maeztu, abogado especializado en tecnolog√≠a. Abogados y expertos en seguridad inform√°tica coinciden en que los gobiernos deber√≠an explicar lo ocurrido b√°sicamente por tres motivos clave: de seguridad t√©cnica, legales y morales.

Advertisement

Explicaciones sobre seguridad

Si algo ha dejado claro la informaci√≥n filtrada de Hacking Team es que la seguridad interna que utilizaba la compa√Ī√≠a era un desastre. Teniendo en cuenta que sus clientes eran agencias de seguridad, inteligencia y gobiernos de medio mundo, el asunto es grave.

Advertisement

‚ÄúA nivel de producto, del Remote Control System en s√≠, las comunicaciones entre los agentes [los port√°tiles o m√≥viles intervenidos] y el software eran cifradas y muy silenciosas. Pero internamente Hacking Team era un desastre. Su base de datos interna con datos de clientes estaba totalmente en claro, sin contrase√Īas, como si fuera una Wiki. Compart√≠an contrase√Īas por email, y estas eran adem√°s en muchas ocasiones sencillas y f√°cilmente hackeables... un desastre. Por ejemplo, un email revela c√≥mo el CNI vio sus proxies comprometidas, alguien las hab√≠a hackeado, y ped√≠a ayuda a Hacking Team. A nivel de seguridad, e incluso de procesos de trabajo, todo parec√≠a improvisado, nada propio de una compa√Ī√≠a que trabaja con clientes tan sensibles‚ÄĚ, explica Vicente Dom√≠nguez. La prueba m√°s grande de este desastre es el hackeo final y completo de la compa√Ī√≠a.

¬ŅC√≥mo es posible que decenas de gobiernos hayan contratado a una compa√Ī√≠a con problemas tan graves de seguridad interna? ¬ŅQui√©n dio la orden, por ejemplo en el caso de Espa√Īa, para que el CNI o la Polic√≠a Nacional utilizaran sus programas? ¬ŅQu√© auditor√≠as previas se hicieron? ¬ŅSe ha podido filtrar informaci√≥n sensible de un pa√≠s y su seguridad nacional debido a estos fallos internos de Hacking Team? Preguntas, de momento, sin respuesta.

Explicaciones legales

Advertisement

David Maeztu cree que es fundamental tambi√©n aclarar si los gobiernos utilizaron el software de Hacking Team para vigilar a ciudadanos, bajo qu√© condiciones y si ten√≠an permiso judicial para hacerlo. ‚ÄúEsto est√° muy claro: si han pinchado las comunicaciones, en Espa√Īa seg√ļn el art√≠culo 18.3 de la Constituci√≥n necesitan autorizaci√≥n judicial. Si no la ten√≠an operaban al margen de la Ley‚ÄĚ. ¬ŅLo hac√≠an?

Maeztu adem√°s se√Īala otro punto clave: varios emails confirman trazas de c√≥digo que se ha podido utilizar para descargar pornograf√≠a infantil en los ordenadores de sospechosos vigilados. ‚ÄúSi haces esto con un troyano indetectable, como el de Hacking Team, b√°sicamente est√°s fabricando pruebas falsas en el ordenador de una persona. Plantar pornograf√≠a infantil permite a la polic√≠a tener una excusa para una b√ļsqueda domiciliaria y realizar un arresto, pero estar√≠amos hablando de pruebas y excusas falsas fabricadas y descargadas mediante estos programas. Abre un enorme debate sobre c√≥mo evitar este tipo de actuaciones‚ÄĚ. ¬ŅPensaba hacer el CNI espa√Īol algo as√≠? ¬ŅLo hizo? ¬ŅY otros gobiernos?

Explicaciones morales

Advertisement

Es el otro punto delicado. Hacking Team asegur√≥ en diversas ocasiones, la √ļltima a The Intercept el a√Īo pasado, que no colaboraba con los pa√≠ses en la lista negra de Naciones Unidas acusados de vulnerar derechos humanos. Los emails prueban que ment√≠an. La imagen debajo, obtenida por Forbes a partir de los datos filtrados, muestra como en realidad la compa√Ī√≠a recibi√≥ pagos de Sud√°n por valor de casi medio mill√≥n de d√≥lares. El valor total del contrato era de $1 mill√≥n de d√≥lares. Sud√°n es justo un pa√≠s en la lista negra de Naciones Unidas.

Y no es el √ļnico caso. Hace unos a√Īos un equipo de periodistas en Marruecos contrarios al gobierno fueron perseguidos por lo que parec√≠a una versi√≥n adaptada del programa de Hacking Team. Tambi√©n hubo casos similares en los Emiratos √Ārabes Unidos. La compa√Ī√≠a llevaba ya varios a√Īos siendo objetivo de cr√≠ticas y ataques por parte de varias organizaciones defensoras de los Derechos Humanos. ¬ŅC√≥mo es posible que decenas de gobiernos ignoraran esta informaci√≥n y decidieran contratar a Hacking Team sin importar sus relaciones con reg√≠menes como el de Sud√°n?

Advertisement

Son todas preguntas fundamentales en el aire. Toca el turno de respuestas.

Fotos 2 y 4: Shutterstock

Click here to view this kinja-labs.com embed.

Advertisement

***

Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)