El 18 de mayo de 2014 Violeta Lagunes quedó perpleja al ver mensajes extraños en
su casilla de Gmail. Ese día se votaba la presidencia del Partido
Acción Nacional (PAN) de México. Lagunes, ex legisladora nacional, tenía
una reunión de estrategia en su oficina de la ciudad de Puebla. Los
mails parecían inofensivos. Uno de ellos era de un colega de confianza y
pedía que Lagunes analizara un documento. El link no abría. Un mail de
Google le advertía que alguien había tratado de entrar en su cuenta.
Aliados de su partido le avisaron que estaban recibiendo mails suyos,
pero ella no recordaba haberlos enviado.
Preocupada, se encontró
con el compañero que parecía haberle enviado el mail con instrucciones.
“Yo no te mandé nada”, advirtió él. Un asesor que oyó la conversación y
pidió permanecer anónimo, comprendió que todos habían sido hackeados.
Apoyaban
al senador Ernesto Cordero para el cargo en disputa, mientras que
Gustavo Madero, que pretendía permanecer en ese puesto, contaba con el
apoyo del poderoso gobernador de Puebla, Rafael Moreno Valle, cercano
además al presidente del país, Enrique Peña Nieto.
La contienda
por retener el liderazgo del partido derechista era un test crucial para
el gobernador, quien este año confirmaría su aspiración a la
presidencia de México.
Además, unos 40 colaboradores de la
agrupación de Lagunes habían sido intimidados por hackers tras obtener
sus nombres y números telefónicos y temían por sus familias.
Madero
ganó la elección. Los de Cordero decidieron no cuestionar el resultado.
Hasta que surgieran pruebas del hackeo pasaría un año: los datos
filtrados parecían indicar que sus rivales habían montado una operación
de espionaje utilizando software producido por la firma italiana Hacking
Team (HT), una de las muchas compañías particulares que, lejos del
conocimiento público, se crearon para asistir a gobiernos en la vigilancia de la vida de los ciudadanos.
La
industria afirma que sus productos cumplen con las leyes locales y se
usan para combatir el crimen y el terror. Pero estas herramientas han
demostrado ser igualmente aptas para el espionaje político.
Un
empleado administrativo estadounidense manda y recibe unos 120 mails por
día. La omnipresencia y utilidad del correo electrónico lo han
convertido en un registro minucioso de nuestra vida diaria, lleno de
detalles rutinarios pero potencialmente comprometedores, que se
almacenan en un archivo permanente, accesible desde cualquier lugar de
la Tierra y en algunos casos protegido tan solo por una simple
contraseña.
El año pasado, John Podesta, director de campaña de
Hillary Clinton, se enfrentó a una evaluación similar, abrir o no un
correo. Un mail le advirtió que alguien en Ucrania había tratado de
entrar en su cuenta de Gmail y le pedía que reseteara la contraseña. El
asesor principal de Podesta reenvió ese mail a uno de los expertos en
tecnología de la campaña, quien contestó que “era legítimo”, si bien más
adelante aclararía que se trató de un error de tipeo y que había
querido decir que “no era legítimo”.
Así, como Lagunes, Podesta
cayó en la trampa e introdujo también su contraseña. El link simulaba
conectar a una página oficial de Google, pero en realidad era una
falsificación personalizada, con conexión a islas del Pacífico Sur, para
que Podesta cayera en la trampa. Esta técnica se conoce como spear
phishing (algo así como suplantación de identidad mediante “pesca con
arpón”), un arma especialmente potente contra empresas y organizaciones
políticas porque basta con que dé resultado contra un solo objetivo
individual.
Después, los atacantes pueden usar la identidad del
titular de esa primera cuenta hackeada como anzuelo para que sus colegas
abran archivos adjuntos infectados o cliqueen en links
malintencionados.
Una contraseña activa no solo da acceso a años
de comunicaciones de una institución, facturas, operaciones con tarjetas
de crédito y memorándums confidenciales; con frecuencia permite entrar
en otras cuentas personales -Twitter, Facebook, Amazon- e inclusive
acceder a los servidores de una compañía y a dominios de Internet.
El
incidente Climategate de 2009, que reveló mails valiosísimos de
prominentes investigadores climatológicos, empezó cuando los servidores
de una universidad británica fueron vulnerados a distancia por hackers
que se sirvieron de sus contraseñas. El pirateo de archivos internos de
Sony en 2014, que se atribuyó a Corea del Norte, comenzó también con
mails del tipo spear phishing.
Con la aparición de empresas como
HT, penetrar en los emails de opositores no requiere el dinero ni el
expertise reservado a las grandes potencias. El website por suscripción
Surveillance enumera más de una docena de firmas que venden el
denominado malware ético.
En comparación con las armas
convencionales, el software de vigilancia está sujeto a menos controles
comerciales. Un intento para regularlo que hizo EE.UU. fracasó hace
poco. “La tecnología es moralmente neutra”, dice Joel Brenner, ex
inspector general de la Agencia Nacional de Seguridad estadounidense.
“El mismo programa que usted utiliza para monitorear a su babysitter
puede ser usado por Bashar al-Assad o Abdel Fattah el-Sissi para seguir a
cualquiera que no les guste.” Con menos de 50 empleados, Hacking Team
tiene clientes en todo el mundo. Según documentos internos, la licencia
de su herramienta de espionaje Remote Control System, o RCS, cuesta
apenas 200 mil dólares por año, no mucho para el presupuesto de un
hombre fuerte provincial. El FBI y la DEA son clientes de HT desde 2011 y
2012 respectivamente, además de algunos de los gobiernos más represivos
del mundo, desde Honduras a Turquía e incluido Sudán, definido por
EE.UU. como estado patrocinador de terrorismo. A la luz de
acontecimientos recientes se destaca también la relación de tres años
entre HT y la FSB, una de las principales agencias de inteligencia de
Rusia. La firma confirmó que el estado mexicano de Puebla había sido
cliente.
“Les vendemos solo a organismos de seguridad oficiales,
legales”, escribió en un mail David Vincenzetti, fundador y CEO de HT.
Pero en oportunidades ha prevalecido una actitud más holgada en la
compañía.
Hasta hace poco, estas empresas funcionaban
discretamente en oficinas alquiladas y contactaban a sus clientes en
persona. Por eso resultó notable que en julio de 2015 apareciera un tuit
inusual en la cuenta de Hacking Team. “Ya que no tenemos nada que
ocultar”, decía el mensaje, “estamos publicando nuestros mails, archivos
y código fuente”.
Después llegó otro tuit con links para bajar un
archivo llamado “Hacked Team”. Era un archivo enorme, 420 gigabytes de
material extraído de los servidores internos de HT. Adentro había 33
carpetas con los contratos de la compañía, el listado de sueldos,
facturas, memorándums legales, registros de soporte a clientes y cinco
años de correspondencia por mail desde el CEO para abajo.
La propia Hacking Team había sido hackeada.
WikiLeaks
se metió en la grieta y subió rápido los mails a una base de datos
accesible. Cualquiera que tuviese conexión a Internet podía leer cómo el
CEO bromeaba diciendo que su empresa vendía “la tecnología más maligna
de la Tierra” o enterarse de las contraseñas notablemente débiles de un
ingeniero de la compañía: HTPassword!, P4ssword, Passw0rd.
Pero lo
más perjudicial de la filtración era la lista de clientes de HT y los
nombres de las víctimas de algunos de esos clientes. En Corea del Sur
los diarios pusieron el foco en pruebas que indicaban que el software de
HT había ayudado al servicio de inteligencia nacional a manipular una
elección; luego de la filtración, un agente que supuestamente había
utilizado allí el sistema se suicidó.
En Ecuador, una revista
descubrió un mail con siete números telefónicos que el gobierno parecía
haber elegido como blancos con el RCS. Tres eran de legisladores; un
cuarto, del intendente de Quito; los cuatro pertenecían al partido
opositor.
Divulgado el código fuente del RCS, la compañía y sus
clientes debieron dejar de usarlo. Hacia fin de año, HT había
actualizado su producto e intentaba reconstruir su reputación.
En
la sede de HT en Milán, Eric Rabe, vocero de la firma en EE.UU., y el
ingeniero Alessandro Scarafile explicaron el funcionamiento práctico de
tres de los cuatro métodos para implantar el sistema de control remoto
en un target determinado: mediante pendrive o memory card, enviando el
programa a través de una red wi-fi y por medio de mails en los que se
busca que el usuario objetivo cliquee en un archivo infectado.
Se
hizo allí una simulación de hackeo. En lo que representaba la consola de
una agencia de seguridad cliente, proyectados sobre una pantalla había
distintos íconos que ilustraban las distintas fuentes y datos que podían
manipularse al adquirir control sobre el equipo del usuario objetivo:
imágenes de cámaras y sonidos de micrófonos, capturas de pantalla,
registros de aplicaciones abiertas y bitcoins transferidos, logs con el
registro continuo de ubicaciones con latitud y longitud, libretas de
direcciones, agendas, llamadas telefónicas, llamadas por Skype y
contraseñas, al igual que websites visitados.
En el método que no
se mencionó, llamado network injection, el RCS se instala interceptando
búsquedas del usuario-objetivo en Internet, digamos un video en YouTube,
y dándole acceso a una versión modificada de la página buscada, con el
logo de YouTube y todo, que permitirá que el programa desarrolle su
tarea una vez traspuestas las puertas digitales.
Cualquiera sea el
método de infección, el código malicioso, conocido como “agente”, se
comunica con su propietario de manera anónima y sus informes circulan a
través de una red de servidores distribuidos por el mundo. Incluso si la
víctima comienza a sospechar, esta cadena de servidores hace casi
imposible que detecte quién está usando con él el producto de HT. Y su
sistema permanece infectado incluso si los equipos se apagan o se cierra
la sesión.
El usuario-objetivo estaba representado por un matón
barbudo: “Jimmy Page, jefe de la célula terrorista”. Scarafile se
introdujo en el Gmail, el Facebook y el Twitter de Page. Le abrió Skype,
examinó a sus cómplices (Don Corleone, Harry Potter) y a uno le mandó
un mensaje de voz. Entrando a un drive USB conectado a la PC infectada,
Scarafile abrió un archivo encriptado que resultó tener la orden de
“matar a David Vincenzetti”. El RCS capturó todo.
Vincenzetti es
el fundador de Hacking Team. Tiene 48 años y es ferozmente competitivo.
Siendo estudiante de informática en la Universidad de Milán, en los 90
se fascinó con la criptografía y se vinculó con programadores de todo el
mundo. Creó HT en 2003. Tras los atentados de 2004 a la estación de
trenes de Madrid, coordinados mediante celulares e internet, la policía y
los servicios de inteligencia de Europa se interesaron en contratar
vendedores de software de hacking ofensivo. En 2011 desplegó su negocio
por Medio Oriente, boom que coincidió con la Primavera Árabe. La
expansión fue estimulada por la demanda de gobiernos del tercer mundo de
herramientas de vigilancia del primer mundo.
Las críticas más
firmes a Hacking Team provienen de Citizen Lab, un grupo de
investigación de la Escuela Munk de Asuntos Globales de la Universidad
de Toronto. Antes de las filtraciones de HT, Citizen Lab documentó casos
en los que aparecía software de HT en equipos de activistas de
Marruecos y los Emiratos Árabes Unidos, como también de un periodista
etíope-estadounidense de Alexandria, estado de Virginia. Ronald Deibert,
el director de Citizen Lab, dijo que Hacking Team “es una compañía que
parece no ejercer control sobre el uso abusivo de sus productos.” La
organización de derechos civiles R3D con base en México, afirma que la
intimidación y la vigilancia online han aumentado con la presidencia de
Peña Nieto. México es el mayor mercado de exportación de HT, con unos
seis millones de euros en ventas, según los documentos filtrados. En
apariencia, el sistema está destinado a combatir criminales y
traficantes. (“Hay información de que el software se empleó en la
detención del Chapo Guzmán”, dijo el vocero de HT. “No puedo
confirmarlo.”) A mediados de 2015, Hacking Team abrió una subsidiaria en
Estados Unidos, alquiló oficinas en Reston, estado de Virginia, a 20
minutos en auto del cuartel general de la CIA, y trazó un “Plan de
acción”, con rondas de propuestas al Departamento de Justicia, las
fuerzas armadas estadounidenses y la real Policía Montada de Canadá. HT
también apuntaba a otro mercado potencialmente lucrativo: el estado
nacional y los gobiernos estadounidenses locales, revelaron los
documentos filtrados.
El gobierno federal está aceptando más la
vigilancia electrónica como parte del trabajo normal de la policía. En
2016, el Departamento de Justicia modificó las reglas del procedimiento
penal, facilitando a los agentes federales el hacking de computadoras
con una autorización simple.
En 2014, el director del FBI James
Comey sostuvo que el sistema para encriptar que poseían los productos
Apple planteaba una amenaza a la seguridad pública, en beneficio del
terrorismo, el tráfico de drogas y otros delitos. En vez de “una caja
fuerte que no se puede violentar” Comey pedía que le dieran la
combinación.
En sus mensajes, Vincenzetti se dirige a sus
receptores como “caballeros”. Y les recuerda que los vientos
geopolíticos han estado soplando a favor de los autodenominados aliados
de la ley y el orden. Sus mails explotan intensamente la sensación de
miedo y alarma. Vincenzetti escribe acerca de tenebrosas pandillas de
hackers iraníes que usan el hashtag #JeSuisCharlie para introducir
malware en laptops francesas.
Luego del arresto de dos uzbekos en
Brooklyn por decir que querían unirse al ISIS, Vincenzetti habló en un
mail de “un muy serio complot terrorista frustrado” y que por eso “llegó
el tiempo de una supervisión MÁS SOFISTICADA… algo capaz de penetrar en
el núcleo de los foros OCULTOS de los terroristas. Y esa (absolutamente
única) tecnología EXISTE y es capaz de neutralizar el encriptado que
los protege, para rastrearlos, identificarlos, capturarlos y
destrozarlos”. Era casi como si estuviese vendiendo un microondas o
sándwiches, no herramientas con las cuales dejar al desnudo la vida
privada de criminales. O de quien sea.
*Mattathias Schwartz, autora
de esta investigación, publicada por el New York Times, es corresponsal
de la revista electrónica The Intercept y ha escrito sobre el polémico
rol de los informantes pagos en las investigaciones del FBI sobre
terrorismo.
Traducción del artículo: Román García Azcárate.