Pocas noticias pueden desatar más schadenfreude dentro de la comunidad de seguridad que ver cómo una famosa empresa de hackers a sueldo se convierte en un objetivo de hackeo. En el caso de la recién destripada empresa de vigilancia italiana Hacking Team, la compañía también puede servir como un oscuro ejemplo de una industria de vigilancia global que a menudo vende a cualquier gobierno dispuesto a pagar, con poca consideración por el historial de derechos humanos de ese régimen.
El domingo por la noche, piratas informáticos no identificados publicaron en bittorrent un enorme volumen de 400 gigabytes de documentos internos de Hacking Team, con sede en Milán, una empresa acusada desde hace tiempo de vender de forma poco ética herramientas que ayudan a los gobiernos a penetrar en ordenadores y teléfonos. El trozo violado incluye correos electrónicos de ejecutivos, facturas de clientes e incluso código fuente; el feed de Twitter de la empresa fue hackeado, controlado por los intrusos durante casi 12 horas, y utilizado para distribuir muestras de los archivos hackeados de la empresa. La comunidad de seguridad se pasó la noche del domingo rebuscando en las entrañas de la empresa de espionaje y, en algunos casos, encontrando lo que parecen ser nuevas confirmaciones de que Hacking Team vendía herramientas de intrusión digital a regímenes autoritarios. Estas revelaciones pueden ser muy oportunas para influir en el debate político que se está produciendo en Estados Unidos sobre cómo controlar el software de espionaje, con una fecha límite para el debate público sobre nuevas regulaciones que se producirá este mes.
Software
Uno de los documentos extraídos de los archivos violados, por ejemplo, parece ser una lista de clientes de Hacking Team junto con la duración de sus contratos. Entre estos clientes se encuentran Azerbaiyán, Bahréin, Egipto, Etiopía, Kazajistán, Marruecos, Nigeria, Omán, Arabia Saudí, Sudán y varias agencias de Estados Unidos, como la DEA, el FBI y el Departamento de Defensa. Otros documentos muestran que Hacking Team emitió una factura de un millón de dólares a la Agencia de Seguridad de la Red de Información de Etiopía (la agencia de espionaje de un país conocido por vigilar y censurar a sus periodistas y disidentes políticos) por la licencia de su Sistema de Control Remoto, una herramienta de espionaje. En el caso de Sudán, país sometido a un embargo de la ONU, los documentos muestran una factura de 480.000 dólares a sus Servicios Nacionales de Inteligencia y Seguridad por el mismo software.
«Estos son los equivalentes de las filtraciones de Edward Snowden para la industria de la vigilancia», dice Eric King, director adjunto de Privacy International. «Hay pocos países a los que [Hacking Team] no esté dispuesto a vender. Hay pocas líneas que no estén dispuestas a cruzar».
En sus materiales de marketing, Hacking Team describe su producto RCS como «una solución diseñada para evadir el cifrado mediante un agente instalado directamente en el dispositivo» que una agencia está vigilando. «Quieres mirar a través de los ojos de tu objetivo», reza el guión de uno de los vídeos de la compañía, que se muestra a continuación. «Tienes que hackear a tu objetivo». El año pasado, los investigadores del grupo de análisis de vigilancia en Internet Citizen Lab, con sede en Toronto, y la empresa de antivirus Kaspersky revelaron el software Hacking Team, que se dirige a todos los sistemas operativos móviles para tomar el control total de los teléfonos.
WIRED
Hacking Team aún no ha respondido a la solicitud de comentarios de WIRED. Un ingeniero de Hacking Team, Christian Pozzi, pareció defender brevemente a su empleador en Twitter, escribiendo que los atacantes de la compañía estaban «difundiendo mentiras sobre los servicios que proporcionamos.» Su feed fue pronto hackeado y luego borrado.
Las prácticas comerciales de Hacking Team, recientemente expuestas, ponen en tela de juicio que la normativa actual impida efectivamente que una empresa privada venda software de piratería informática a cualquier gobierno del mundo. Un intercambio escrito entre los ejecutivos de Hacking Team y funcionarios de la ONU muestra que la ONU cuestiona las ventas de Hacking Team a Sudán. Una carta de la ONU a la empresa hace referencia a una carta que Hacking Team envió a la ONU en marzo de 2015, en la que argumentaba que sus herramientas de espionaje no contaban como un arma y, por tanto, no entraban en el ámbito del embargo de armas de la ONU. (La ONU no estuvo de acuerdo).
«Sudán es uno de los países más estrictamente embargados del mundo», dice Chris Soghoian, activista de la privacidad y tecnólogo principal de la Unión Americana de Libertades Civiles, que fue el primero en descubrir la correspondencia de la ONU en el volcado de datos de Hacking Team. «Si Hacking Team cree que puede vender legalmente a Sudán, cree que puede vender a cualquiera».
La cuestión de si las herramientas de hacking se definen como armas en los términos de los acuerdos de control de armas no podría ser más oportuna: Un pacto de control de armas llamado Arreglo de Wassenaar ha sido objeto de un acalorado debate en las últimas semanas sobre sus medidas que controlarían la exportación internacional de software de intrusión. El Departamento de Comercio de EE.UU. ha abierto el proceso a los comentarios del público, una ventana que termina el 20 de julio.
El Acuerdo de Wassenaar ha sido criticado por la comunidad de hackers por limitar la investigación en seguridad e impedir el intercambio de herramientas de pruebas de penetración. Pero Eric King, de Privacy International, sostiene que las prácticas de Hacking Team demuestran por qué es necesario el pacto, junto con lo que describe como «carve-outs» para proteger la investigación en seguridad. «Lo que está claro es que no se puede dejar a estas empresas a su aire», dice King. «Es necesario algún tipo de regulación para evitar que estas empresas vendan a quienes abusan de los derechos humanos. Es una cuestión política difícil, y una herramienta no será una bala de plata. Pero la regulación y el control de las exportaciones deben formar parte de la respuesta política».
Hacking team
A pesar de que Hacking Team tiene su sede en Italia, las normas de control de las exportaciones del Departamento de Comercio de los Estados Unidos, aún en evolución, pueden aplicarse a la empresa, dice Chris Soghoian, de la ACLU. Soghoian señala dos empresas que detectó en los archivos de Hacking Team que parecían estar revendiendo las herramientas de la empresa: Cyber Point International en Maryland y Horizon Global Group en California.
Los documentos pirateados están lejos de ser la primera prueba de que Hacking Team ha vendido sus herramientas a gobiernos autoritarios. Los investigadores de Citizen Lab han acusado a Hacking Team de vender a países como Sudán y los Emiratos Árabes Unidos, que lo utilizaron para espiar a un disidente político que luego fue golpeado por matones. WIRED informó en 2013 sobre un activista estadounidense que aparentemente fue blanco de Turquía utilizando las herramientas de Hacking Team. Pero Hacking Team ha respondido con desmentidos, críticas a los métodos de Citizen Lab y afirma que no vende a «regímenes represivos.»
«Hacking Team ha arrojado continuamente barro, ha ofuscado, ha intentado confundir la verdad», dice King, de Privacy International. «Este comunicado ayuda a poner las cosas en su sitio, y muestra su tortuosidad y duplicidad a la hora de responder a lo que son críticas legítimas».
