España, México, Colombia, Chile, Ecuador, Panamá, EE.UU.... la lista es casi interminable. Todos estos países han contratado a la empresa italiana Hacking Team, dedicada a infiltrar dispositivos con fines de vigilancia y espionaje. Tras el hackeo masivo de la empresa, que ha resultado en 400GB de emails e información filtrada, surgen las preguntas delicadas: ¿para qué utilizaban los gobiernos esta tecnología de vigilancia? ¿Espiaban a sus ciudadanos? ¿De forma masiva? ¿Lo hacían legalmente? Son dudas muy graves que los gobiernos aún no han despejado.


Un hackeo masivo

Se trata de una filtración de enorme importancia: revela las relaciones de decenas de gobiernos con una empresa privada dedicada al software de espionaje. El Centro Nacional de Inteligencia (CNI) o la Policía Nacional en España, gobiernos de varios estados en México (además de organismos nacionales en ese país como la Policía Federal o las secretarías de Seguridad Pública, de Marina o de Defensa Nacional), el FBI o la Drug Enforcement Administration (DEA) en Estados Unidos... todos compraron en algún momento el producto estrella de Hacking Team: un malware llamado Remote Control System (RCS) que, tal y como muestran los emails filtrados, permite infiltrar móviles y ordenadores para controlar comunicaciones a través de email, WhatsApp o Skype.


“Para entendernos, han pillado a Hacking Team con la carretilla llena: tenían mucha información sobre sus clientes y mucha de ella poco o nada cifrada. Eso ya de por sí es muy delicado”, explica a Gizmodo en Español Vicente Domínguez, ingeniero informático con experiencia en seguridad que ha tenido acceso a los emails y documentos filtrados.


Se desconoce de momento quién está detrás del hackeo de la compañía italiana. Motherboard asegura que es obra de un hacker que se autodenomina Phineas Fisher, quien se ha declarado responsable de la filtración, y también del hackeo previo de un competidor de Hacking Team, la empresa Gamma International, que comercializaba un producto de espionaje similar al RCS llamado FinFisher. Cómo lo han hecho es un misterio. El propio Phineas Fisher asegura que pronto lo explicará, pero robar 400GB de información no es sencillo. “Mi teoría es que ha tenido que utilizar directamente un disco duro. Son muchísimos datos. Lo más sencillo es algo físico, llegar al data center, al servidor de copias, conectar un disco, copiar e irte”, dice Domínguez.

¿Qué revelan las filtraciones?

En los emails y documentos filtrados figuran las facturas que diferentes organismos, agencias y gobiernos han pagado a Hacking Team por la prestación de sus servicios. Con la Policía Nacional española, por ejemplo, el contrato parece no estar ya vigente, pero con el CNI sí, y se detallan varias facturas desde el 2010 por un valor total de más de 200.000 euros en concepto de instalación y mantenimiento del software Remote Control System (RCS). Entre ellas, figura un contrato de 48.000 euros para utilizar un portal capaz de lanzar ataques de “día cero”, es decir, inyectar malware gracias a vulnerabilidades en un programa o equipo con el objetivo de extraer información sin conocimiento de los usuarios. Igual que con el CNI, los datos muestran facturas con decenas de organismos y agencias en países de todo el mundo.


Debajo, un gráfico con los ingresos de Hacking Team por país. México está, con diferencia, muy por encima del resto:


La información filtrada demuestra por tanto que esos contratos existieron (y existen), lo que no revela de momento es para qué han utilizado exactamente los gobiernos el software de espionaje de Hacking Team. Y eso abre muchas dudas. Dudas que, según políticos, activistas y abogados, los propios gobiernos deberían despejar.

El CNI: “si es preciso daremos explicaciones según prevé la ley”


El Centro Nacional de Inteligencia ha confirmado a Gizmodo en Español que, efectivamente, “existe una relación contractual con Hacking Team” y que se trata de una relación “regida por la Ley de contratación pública, por un lado, y la Ley 11/2002 por otro, que regula la actividad concreta del CNI”. Ante la necesidad o no de dar explicaciones sobre este contrato, el CNI señala que “si es preciso hacer una aclaración, se hará según prevé la ley y sus órganos”.

Traducido: lo podrían hacer, pero de momento no lo contemplan.

Joan Tardà i Coma, diputado del grupo ERC-RCat-Catalunya Sí, fue ayer el primero en exigir al gobierno a través de una petición escrita dar explicaciones en el Congreso sobre el asunto. Tardà pide que se aclare el número de contratos, su finalidad, coste y, sobre todo, si se ha utilizado la tecnología para espiar a ciudadanos. Si es así, ¿había autorización de un juez? ¿Se ha realizado todo todo en base a la legalidad vigente?


“Si estos contratos se han pagado con dinero público, algún tipo de explicación tienen que dar”, señala a Gizmodo en Español David Maeztu, abogado especializado en tecnología. Abogados y expertos en seguridad informática coinciden en que los gobiernos deberían explicar lo ocurrido básicamente por tres motivos clave: de seguridad técnica, legales y morales.

Explicaciones sobre seguridad

Si algo ha dejado claro la información filtrada de Hacking Team es que la seguridad interna que utilizaba la compañía era un desastre. Teniendo en cuenta que sus clientes eran agencias de seguridad, inteligencia y gobiernos de medio mundo, el asunto es grave.


“A nivel de producto, del Remote Control System en sí, las comunicaciones entre los agentes [los portátiles o móviles intervenidos] y el software eran cifradas y muy silenciosas. Pero internamente Hacking Team era un desastre. Su base de datos interna con datos de clientes estaba totalmente en claro, sin contraseñas, como si fuera una Wiki. Compartían contraseñas por email, y estas eran además en muchas ocasiones sencillas y fácilmente hackeables... un desastre. Por ejemplo, un email revela cómo el CNI vio sus proxies comprometidas, alguien las había hackeado, y pedía ayuda a Hacking Team. A nivel de seguridad, e incluso de procesos de trabajo, todo parecía improvisado, nada propio de una compañía que trabaja con clientes tan sensibles”, explica Vicente Domínguez. La prueba más grande de este desastre es el hackeo final y completo de la compañía.


¿Cómo es posible que decenas de gobiernos hayan contratado a una compañía con problemas tan graves de seguridad interna? ¿Quién dio la orden, por ejemplo en el caso de España, para que el CNI o la Policía Nacional utilizaran sus programas? ¿Qué auditorías previas se hicieron? ¿Se ha podido filtrar información sensible de un país y su seguridad nacional debido a estos fallos internos de Hacking Team? Preguntas, de momento, sin respuesta.

Explicaciones legales


David Maeztu cree que es fundamental también aclarar si los gobiernos utilizaron el software de Hacking Team para vigilar a ciudadanos, bajo qué condiciones y si tenían permiso judicial para hacerlo. “Esto está muy claro: si han pinchado las comunicaciones, en España según el artículo 18.3 de la Constitución necesitan autorización judicial. Si no la tenían operaban al margen de la Ley”. ¿Lo hacían?

Maeztu además señala otro punto clave: varios emails confirman trazas de código que se ha podido utilizar para descargar pornografía infantil en los ordenadores de sospechosos vigilados. “Si haces esto con un troyano indetectable, como el de Hacking Team, básicamente estás fabricando pruebas falsas en el ordenador de una persona. Plantar pornografía infantil permite a la policía tener una excusa para una búsqueda domiciliaria y realizar un arresto, pero estaríamos hablando de pruebas y excusas falsas fabricadas y descargadas mediante estos programas. Abre un enorme debate sobre cómo evitar este tipo de actuaciones”. ¿Pensaba hacer el CNI español algo así? ¿Lo hizo? ¿Y otros gobiernos?


Explicaciones morales


Es el otro punto delicado. Hacking Team aseguró en diversas ocasiones, la última a The Intercept el año pasado, que no colaboraba con los países en la lista negra de Naciones Unidas acusados de vulnerar derechos humanos. Los emails prueban que mentían. La imagen debajo, obtenida por Forbes a partir de los datos filtrados, muestra como en realidad la compañía recibió pagos de Sudán por valor de casi medio millón de dólares. El valor total del contrato era de $1 millón de dólares. Sudán es justo un país en la lista negra de Naciones Unidas.


Y no es el único caso. Hace unos años un equipo de periodistas en Marruecos contrarios al gobierno fueron perseguidos por lo que parecía una versión adaptada del programa de Hacking Team. También hubo casos similares en los Emiratos Árabes Unidos. La compañía llevaba ya varios años siendo objetivo de críticas y ataques por parte de varias organizaciones defensoras de los Derechos Humanos. ¿Cómo es posible que decenas de gobiernos ignoraran esta información y decidieran contratar a Hacking Team sin importar sus relaciones con regímenes como el de Sudán?

Son todas preguntas fundamentales en el aire. Toca el turno de respuestas.

Fotos 2 y 4: Shutterstock


***