Ciberguerra en venta: Secretos de la oscura industria del hackeo
La vigilancia online se expande por la aparición de empresas que capturan datos y se meten en disputas políticas y negocios globales. 

Por Mattathias Schwartz

Ilustración de un hackeo.

El 18 de mayo de 2014 Violeta Lagunes quedó perpleja al ver mensajes extraños en su casilla de Gmail. Ese día se votaba la presidencia del Partido Acción Nacional (PAN) de México. Lagunes, ex legisladora nacional, tenía una reunión de estrategia en su oficina de la ciudad de Puebla. Los mails parecían inofensivos. Uno de ellos era de un colega de confianza y pedía que Lagunes analizara un documento. El link no abría. Un mail de Google le advertía que alguien había tratado de entrar en su cuenta. Aliados de su partido le avisaron que estaban recibiendo mails suyos, pero ella no recordaba haberlos enviado.

Preocupada, se encontró con el compañero que parecía haberle enviado el mail con instrucciones. “Yo no te mandé nada”, advirtió él. Un asesor que oyó la conversación y pidió permanecer anónimo, comprendió que todos habían sido hackeados.

Apoyaban al senador Ernesto Cordero para el cargo en disputa, mientras que Gustavo Madero, que pretendía permanecer en ese puesto, contaba con el apoyo del poderoso gobernador de Puebla, Rafael Moreno Valle, cercano además al presidente del país, Enrique Peña Nieto.

La contienda por retener el liderazgo del partido derechista era un test crucial para el gobernador, quien este año confirmaría su aspiración a la presidencia de México.

Además, unos 40 colaboradores de la agrupación de Lagunes habían sido intimidados por hackers tras obtener sus nombres y números telefónicos y temían por sus familias.

Madero ganó la elección. Los de Cordero decidieron no cuestionar el resultado. Hasta que surgieran pruebas del hackeo pasaría un año: los datos filtrados parecían indicar que sus rivales habían montado una operación de espionaje utilizando software producido por la firma italiana Hacking Team (HT), una de las muchas compañías particulares que, lejos del conocimiento público, se crearon para asistir a gobiernos en la vigilancia de la vida de los ciudadanos.

La industria afirma que sus productos cumplen con las leyes locales y se usan para combatir el crimen y el terror. Pero estas herramientas han demostrado ser igualmente aptas para el espionaje político.

Un empleado administrativo estadounidense manda y recibe unos 120 mails por día. La omnipresencia y utilidad del correo electrónico lo han convertido en un registro minucioso de nuestra vida diaria, lleno de detalles rutinarios pero potencialmente comprometedores, que se almacenan en un archivo permanente, accesible desde cualquier lugar de la Tierra y en algunos casos protegido tan solo por una simple contraseña.

El año pasado, John Podesta, director de campaña de Hillary Clinton, se enfrentó a una evaluación similar, abrir o no un correo. Un mail le advirtió que alguien en Ucrania había tratado de entrar en su cuenta de Gmail y le pedía que reseteara la contraseña. El asesor principal de Podesta reenvió ese mail a uno de los expertos en tecnología de la campaña, quien contestó que “era legítimo”, si bien más adelante aclararía que se trató de un error de tipeo y que había querido decir que “no era legítimo”.

Así, como Lagunes, Podesta cayó en la trampa e introdujo también su contraseña. El link simulaba conectar a una página oficial de Google, pero en realidad era una falsificación personalizada, con conexión a islas del Pacífico Sur, para que Podesta cayera en la trampa. Esta técnica se conoce como spear phishing (algo así como suplantación de identidad mediante “pesca con arpón”), un arma especialmente potente contra empresas y organizaciones políticas porque basta con que dé resultado contra un solo objetivo individual.

Después, los atacantes pueden usar la identidad del titular de esa primera cuenta hackeada como anzuelo para que sus colegas abran archivos adjuntos infectados o cliqueen en links malintencionados.

Una contraseña activa no solo da acceso a años de comunicaciones de una institución, facturas, operaciones con tarjetas de crédito y memorándums confidenciales; con frecuencia permite entrar en otras cuentas personales -Twitter, Facebook, Amazon- e inclusive acceder a los servidores de una compañía y a dominios de Internet.

El incidente Climategate de 2009, que reveló mails valiosísimos de prominentes investigadores climatológicos, empezó cuando los servidores de una universidad británica fueron vulnerados a distancia por hackers que se sirvieron de sus contraseñas. El pirateo de archivos internos de Sony en 2014, que se atribuyó a Corea del Norte, comenzó también con mails del tipo spear phishing.

Con la aparición de empresas como HT, penetrar en los emails de opositores no requiere el dinero ni el expertise reservado a las grandes potencias. El website por suscripción Surveillance enumera más de una docena de firmas que venden el denominado malware ético.

En comparación con las armas convencionales, el software de vigilancia está sujeto a menos controles comerciales. Un intento para regularlo que hizo EE.UU. fracasó hace poco. “La tecnología es moralmente neutra”, dice Joel Brenner, ex inspector general de la Agencia Nacional de Seguridad estadounidense. “El mismo programa que usted utiliza para monitorear a su babysitter puede ser usado por Bashar al-Assad o Abdel Fattah el-Sissi para seguir a cualquiera que no les guste.” Con menos de 50 empleados, Hacking Team tiene clientes en todo el mundo. Según documentos internos, la licencia de su herramienta de espionaje Remote Control System, o RCS, cuesta apenas 200 mil dólares por año, no mucho para el presupuesto de un hombre fuerte provincial. El FBI y la DEA son clientes de HT desde 2011 y 2012 respectivamente, además de algunos de los gobiernos más represivos del mundo, desde Honduras a Turquía e incluido Sudán, definido por EE.UU. como estado patrocinador de terrorismo. A la luz de acontecimientos recientes se destaca también la relación de tres años entre HT y la FSB, una de las principales agencias de inteligencia de Rusia. La firma confirmó que el estado mexicano de Puebla había sido cliente.

“Les vendemos solo a organismos de seguridad oficiales, legales”, escribió en un mail David Vincenzetti, fundador y CEO de HT. Pero en oportunidades ha prevalecido una actitud más holgada en la compañía.

Hasta hace poco, estas empresas funcionaban discretamente en oficinas alquiladas y contactaban a sus clientes en persona. Por eso resultó notable que en julio de 2015 apareciera un tuit inusual en la cuenta de Hacking Team. “Ya que no tenemos nada que ocultar”, decía el mensaje, “estamos publicando nuestros mails, archivos y código fuente”.

Después llegó otro tuit con links para bajar un archivo llamado “Hacked Team”. Era un archivo enorme, 420 gigabytes de material extraído de los servidores internos de HT. Adentro había 33 carpetas con los contratos de la compañía, el listado de sueldos, facturas, memorándums legales, registros de soporte a clientes y cinco años de correspondencia por mail desde el CEO para abajo.

La propia Hacking Team había sido hackeada.

WikiLeaks se metió en la grieta y subió rápido los mails a una base de datos accesible. Cualquiera que tuviese conexión a Internet podía leer cómo el CEO bromeaba diciendo que su empresa vendía “la tecnología más maligna de la Tierra” o enterarse de las contraseñas notablemente débiles de un ingeniero de la compañía: HTPassword!, P4ssword, Passw0rd.

Pero lo más perjudicial de la filtración era la lista de clientes de HT y los nombres de las víctimas de algunos de esos clientes. En Corea del Sur los diarios pusieron el foco en pruebas que indicaban que el software de HT había ayudado al servicio de inteligencia nacional a manipular una elección; luego de la filtración, un agente que supuestamente había utilizado allí el sistema se suicidó.

En Ecuador, una revista descubrió un mail con siete números telefónicos que el gobierno parecía haber elegido como blancos con el RCS. Tres eran de legisladores; un cuarto, del intendente de Quito; los cuatro pertenecían al partido opositor.

Divulgado el código fuente del RCS, la compañía y sus clientes debieron dejar de usarlo. Hacia fin de año, HT había actualizado su producto e intentaba reconstruir su reputación.

En la sede de HT en Milán, Eric Rabe, vocero de la firma en EE.UU., y el ingeniero Alessandro Scarafile explicaron el funcionamiento práctico de tres de los cuatro métodos para implantar el sistema de control remoto en un target determinado: mediante pendrive o memory card, enviando el programa a través de una red wi-fi y por medio de mails en los que se busca que el usuario objetivo cliquee en un archivo infectado.

Se hizo allí una simulación de hackeo. En lo que representaba la consola de una agencia de seguridad cliente, proyectados sobre una pantalla había distintos íconos que ilustraban las distintas fuentes y datos que podían manipularse al adquirir control sobre el equipo del usuario objetivo: imágenes de cámaras y sonidos de micrófonos, capturas de pantalla, registros de aplicaciones abiertas y bitcoins transferidos, logs con el registro continuo de ubicaciones con latitud y longitud, libretas de direcciones, agendas, llamadas telefónicas, llamadas por Skype y contraseñas, al igual que websites visitados.

En el método que no se mencionó, llamado network injection, el RCS se instala interceptando búsquedas del usuario-objetivo en Internet, digamos un video en YouTube, y dándole acceso a una versión modificada de la página buscada, con el logo de YouTube y todo, que permitirá que el programa desarrolle su tarea una vez traspuestas las puertas digitales.

Cualquiera sea el método de infección, el código malicioso, conocido como “agente”, se comunica con su propietario de manera anónima y sus informes circulan a través de una red de servidores distribuidos por el mundo. Incluso si la víctima comienza a sospechar, esta cadena de servidores hace casi imposible que detecte quién está usando con él el producto de HT. Y su sistema permanece infectado incluso si los equipos se apagan o se cierra la sesión.

El usuario-objetivo estaba representado por un matón barbudo: “Jimmy Page, jefe de la célula terrorista”. Scarafile se introdujo en el Gmail, el Facebook y el Twitter de Page. Le abrió Skype, examinó a sus cómplices (Don Corleone, Harry Potter) y a uno le mandó un mensaje de voz. Entrando a un drive USB conectado a la PC infectada, Scarafile abrió un archivo encriptado que resultó tener la orden de “matar a David Vincenzetti”. El RCS capturó todo.

Vincenzetti es el fundador de Hacking Team. Tiene 48 años y es ferozmente competitivo. Siendo estudiante de informática en la Universidad de Milán, en los 90 se fascinó con la criptografía y se vinculó con programadores de todo el mundo. Creó HT en 2003. Tras los atentados de 2004 a la estación de trenes de Madrid, coordinados mediante celulares e internet, la policía y los servicios de inteligencia de Europa se interesaron en contratar vendedores de software de hacking ofensivo. En 2011 desplegó su negocio por Medio Oriente, boom que coincidió con la Primavera Árabe. La expansión fue estimulada por la demanda de gobiernos del tercer mundo de herramientas de vigilancia del primer mundo.

Las críticas más firmes a Hacking Team provienen de Citizen Lab, un grupo de investigación de la Escuela Munk de Asuntos Globales de la Universidad de Toronto. Antes de las filtraciones de HT, Citizen Lab documentó casos en los que aparecía software de HT en equipos de activistas de Marruecos y los Emiratos Árabes Unidos, como también de un periodista etíope-estadounidense de Alexandria, estado de Virginia. Ronald Deibert, el director de Citizen Lab, dijo que Hacking Team “es una compañía que parece no ejercer control sobre el uso abusivo de sus productos.” La organización de derechos civiles R3D con base en México, afirma que la intimidación y la vigilancia online han aumentado con la presidencia de Peña Nieto. México es el mayor mercado de exportación de HT, con unos seis millones de euros en ventas, según los documentos filtrados. En apariencia, el sistema está destinado a combatir criminales y traficantes. (“Hay información de que el software se empleó en la detención del Chapo Guzmán”, dijo el vocero de HT. “No puedo confirmarlo.”) A mediados de 2015, Hacking Team abrió una subsidiaria en Estados Unidos, alquiló oficinas en Reston, estado de Virginia, a 20 minutos en auto del cuartel general de la CIA, y trazó un “Plan de acción”, con rondas de propuestas al Departamento de Justicia, las fuerzas armadas estadounidenses y la real Policía Montada de Canadá. HT también apuntaba a otro mercado potencialmente lucrativo: el estado nacional y los gobiernos estadounidenses locales, revelaron los documentos filtrados.

El gobierno federal está aceptando más la vigilancia electrónica como parte del trabajo normal de la policía. En 2016, el Departamento de Justicia modificó las reglas del procedimiento penal, facilitando a los agentes federales el hacking de computadoras con una autorización simple.

En 2014, el director del FBI James Comey sostuvo que el sistema para encriptar que poseían los productos Apple planteaba una amenaza a la seguridad pública, en beneficio del terrorismo, el tráfico de drogas y otros delitos. En vez de “una caja fuerte que no se puede violentar” Comey pedía que le dieran la combinación.

En sus mensajes, Vincenzetti se dirige a sus receptores como “caballeros”. Y les recuerda que los vientos geopolíticos han estado soplando a favor de los autodenominados aliados de la ley y el orden. Sus mails explotan intensamente la sensación de miedo y alarma. Vincenzetti escribe acerca de tenebrosas pandillas de hackers iraníes que usan el hashtag #JeSuisCharlie para introducir malware en laptops francesas.

Luego del arresto de dos uzbekos en Brooklyn por decir que querían unirse al ISIS, Vincenzetti habló en un mail de “un muy serio complot terrorista frustrado” y que por eso “llegó el tiempo de una supervisión MÁS SOFISTICADA… algo capaz de penetrar en el núcleo de los foros OCULTOS de los terroristas. Y esa (absolutamente única) tecnología EXISTE y es capaz de neutralizar el encriptado que los protege, para rastrearlos, identificarlos, capturarlos y destrozarlos”. Era casi como si estuviese vendiendo un microondas o sándwiches, no herramientas con las cuales dejar al desnudo la vida privada de criminales. O de quien sea. 



Fuente: Clarin.com