Los enemigos de internet fueron hackeados

• Julio 7, 2015 •

¿Qué implicaciones tiene la publicación de 400 gigabytes de información de la empresa Hacking Team?

Hacking Team es una empresa que los pequeños Estados y las grandes agencias policiacas contratan para meterse a la computadora o el celular de alguien sin previo aviso ni permiso. Tienen mala fama. En 2013, fueron formalmente declarados “enemigos de internet” por comercializar su software en países autoritarios y represores. El 5 de julio de 2015  mientras todo el personal de la empresa italiana dormía, alguien —no sabemos quién— expropió la cuenta de Twitter de la compañía, cambió el nombre del perfil a Hacked Team y publicó:

 

Hacked Team on Twitter: "Since we have nothing to hide, we're publishing all our e-mails, files, and source code https://t.co/dCBZAPTtpD https://t.co/Frr1ut01o5"

Como no tenemos nada que esconder, publicamos todos nuestros correos electrónicos, archivos y código fuente. Lo que seguía era el enlace a un archivo de 400 gigabytes que contenía lo prometido y más: manuales, recibos, nombre del personal, cuentas bancarias y contraseñas. Absolutamente todo lo que jamás hubiesen querido publicar. Era un Santo Grial. La frase “nothing to hide” hacía alusión a uno de los correos del CEO de la empresa, David Vincenzetti, quien explicaba a uno de sus empleados por qué no se molestaba en cifrar sus correos usando tecnología PGP —si alguien roba tu mensaje en tránsito por internet o tiene tratos con tu proveedor de correo, Pretty Good Privacy evita que lean tu correo— “me siento escéptico sobre usar comunicaciones cifradas con nuestros (potenciales) clientes: no tenemos nada que ocultar”.

En Twitter, aparece un nuevo trending topic: #IsHackingTeamAwakeYet?. La comunidad Cypherpunk –activistas que abogan por el uso de tecnología de privacidad como una herramienta de transformación política– se estaba dando un banquete. Cuando el gato no está en casa, los ratones hacen fiesta. El torrent fue descargado por doquier, se levantaron sitios de respaldo de la información filtrada, empezaron a publicar los documentos y todo esto, mientras Hacking Team aún dormía. Se reveló la lista de clientes de la empresa, clasificados por “pasados”, “activos” y “les damos soporte pero no oficialmente”, entre estos últimos Rusia y Sudán —un régimen que tiene un embargo para la adquisición de armamentos por parte de las Naciones Unidas  por su persecución a activistas, periodistas y opositores políticos—.

Uno de los portavoces de la compañía, Christian Pozzi, finalmente despierta. Negó al mundo lo que estaba pasando y dijo que el archivo, en verdad, se trataba de un virus y tuiteó: “actualmente trabajamos junto con la policía muy de cerca. No puedo dar comentarios sobre la reciente filtración”. Entonces su cuenta también fue vulnerada y los responsables del ataque escribieron: “Uh oh-mi cuenta de twitter también ha sido hackeada. Estamos cerrando. Chao Arabia Saudita. Nos pagaste bien. Allahukabah”. Pwned. Doce horas después de la publicación de su información, los enemigos de internet anunciaban un estado de emergencia total. Tras haber notificado a sus contratistas lo que sucedió, les pedían que dejen de operar el Remote Control System (RCS), como se denomina a todo el arsenal de spyware. 

La Secretaría de Inteligencia ecuatoriana aparecía en la lista, junto a otros clientes americanos con base en Chile, Colombia, Estados Unidos, Honduras, México y Panamá. El pago de cerca de medio millón de dólares aseguraba, según los documentos, el uso de los servicios de espionaje hasta octubre de 2016. Las ventas a Ecuador estaban a cargo de Alex Velasco, de quien están disponibles no uno, ni dos, sino tres archivos masivos de correos electrónicos exportados en formato PST. S. Solis y R. Viscardi, también trabajadores de la empresa, se encargaban de mantener actualizada la información relativa a la Secretaría de Inteligencia del Ecuador (SENAIN). Sus archivos se encuentran en los mismos ficheros que contienen los de Velasco.

Hacking Team permitía a sus clientes acceder, por ejemplo, a los contactos de Skype, Facebook y Google Hangouts de un celular Android, a las grabaciones de llamadas realizadas mediante telefonía móvil, Skype o Viber, a los chats de aplicaciones como Skype, Whatsapp, Viber, Line, Facebook, Hangouts y Telegram, a los correos de Gmail, las contraseñas de wifi. Los agentes podían grabar el micrófono y acceder a la localización del celular. Si una persona utiliza Windows —como la mayoría en el país— el atacante puede obtener los chats y ubicaciones de Facebook, las charlas de voz y texto de Skype, los correos de Gmail y Outlook, archivos, transacciones, puede prender la webcam, grabar con el micrófono ambiental, acceder a la ubicación del dispositivo y, todo esto sin que uno lo note.

En las próximas semanas, tal vez, se podrá evidenciar el alcance de lo realizado por la SENAIN con el Remote Control System. Si es que la Secretaría de Inteligencia tercerizaba las operaciones a Hacking Team —en lugar de utilizar un personal capacitado propio para que realice los ataques—, probablemente se den a conocer los nombres de los blancos de la agencia. Transparency Toolkit, una organización que en mayo de 2015 expuso a miles de espías que presumieron nombres de programas de espionaje en sus perfiles de LinkedIn, dice estar trabajando en un motor de búsqueda para que las personas puedan buscar libremente en los documentos de Hacking Team. 

El código fuente de los programas de espionaje creados y utilizados por la empresa italiana también ha sido liberado y puesto a disposición de no sabemos quién. Esto es menos terrible de lo que uno pudiera imaginar. Considerando que el software invasivo ya no está contenido en manos de Hacking Team y que los gobiernos que lo usan no han brindado garantías sobre la aplicación de los principios de necesidad y proporcionalidad, la industria se verá obligada a corregir todas las vulnerabilidades encontradas en los programas y aplicaciones que utilizamos día a día. Los hackers éticos  podrán investigar libremente estos nuevos sistemas de espionaje y, faltaba más, se podría evidenciar por qué es necesario que exista un control sobre la venta y uso de herramientas de ciberguerra en tiempos donde cada uno de nosotros usa las computadoras cada vez más.