Un hacker que recibe una cucharada de su propia medicina puede ser el ejemplo de la ironía de estos tiempos. Los miembros de Hacking Team ahora lo saben, luego de que un torrente de 400 gigabytes de su información confidencial fueran filtrados a partir de la noche del domingo. Sin embargo, no se trató de una típica fuga de información a la que hackers, hacktivistas y otros expertos en redes nos tienen acostumbrados desde hace años. En esta ocasión los que quedaron expuestos no sólo fueron gobiernos e instituciones, sino una compañía que se encarga de hacer el espionaje y la vigilancia más sencillos para Estados represores.
No se trata de la primera vez que Hacking Team (la afectada en cuestión) es el centro de la controversia. La firma con sede en Milán, Italia, arrastra tras de sí una larga cadena de acusaciones por acciones comerciales poco éticas, por vender herramientas que ayudan (a gobiernos principalmente) a violar la seguridad de computadoras y teléfonos.
Las violaciones, que incluyen correos electrónicos, facturas de clientes e incluso código fuente del producto de la compañía fueron reveladas y la misma cuenta de Twitter de la compañía sirvió como escaparate, luego de que fuera hackeada durante 12 horas. Estas revelaciones llegan justo a mitad de un largo debate que tiene lugar a nivel mundial sobre la forma de controlar el software de espionaje.
“Fue una sorpresa para todos que se haya filtrado y no usaran la plataformas convencionales. Lo hicieron de manera que también protegiera la fuente de la filtración”, dijo el defensor de los derechos humanos Jesús Robles Maloof, uno de los principales difusores de estos datos y quien en su cuenta de Twitter publicara seis facturas de Hacking Team a nombre de la empresa SYM Servicio Integrales, que dan cuenta de la compra del programa Da Vinci que oscilan entre los 319 mil euros hasta los 925 mil euros (entre 5.5 y 16 millones de pesos).
La presencia de la compañía pro espionaje en distintas latitudes del orbe no resulta sorpresiva hasta este punto. No obstante, lo que tomó a todos por sorpresa fue el detalle de las transacciones incluso en países que anteriormente habían negado contar con este tipo de servicios.
De acuerdo con Wired, la misma Agencia Federal de Investigación de Estados Unidos (FBI, por sus siglas en inglés) es uno de los clientes que se ha adquirido software de la compañía italiana. Para nada se trató de una idea descabellada. Desde hace tiempo se sospecha que el FBI utiliza herramientas de Hacking Team, pero con la publicación de los datos filtrados, ahora existe la primera evidencia concreta de que esto es cierto.
Así, la inteligencia estadounidense no fue la única puesta en evidencia. De las publicaciones hechas desde la noche del domingo se desprenden 14 clientes principales en los que figuran, además de EU, instituciones y gobiernos en México, Etiopía, Chile, España, Honduras, Sudan y Panama, por ejemplo.
“Son más de 400 gigabytes de información, por lo que se va tomar un tiempo acceder a toda y poder analizarla, así como las implicaciones que tiene. Sin embargo, de lo que ya hemos logrado acceder y conocer, que es relevante, pues es precisamente la lista de clientes de Hacking Team, que en México es bastante amplia”, dice Luis Fernando García, director de Red en Defensa de los Derechos Digitales (R3D). “Es el país que tiene más clientes… Y que incluye tanto a autoridades federales como estatales.”
En México, en concreto, los clientes con datos filtrados que aparecen en la lista son:
Mexico Police – ExpiredDurango State Government 11/30/2015 ActiveQueretaro State Government 3/31/2014 ExpiredPuebla State Government 7/31/2014 ExpiredMexico Police – ExpiredMexico Navy – ExpiredArmy Mexico 3/31/2015 Not ActivePolicia Federal – ExpiredProcuradoria General De Justicia 12/31/2014 ActiveCampeche State Governement 6/30/2014 ExpiredSeg. National de Gobernacion (CISEN) 12/31/2014 ActiveTaumalipasState Government 7/20/2015 ActiveYucatan State Government 11/30/2015 Active
Mexico Police – Expired
Durango State Government 11/30/2015 Active
Queretaro State Government 3/31/2014 Expired
Puebla State Government 7/31/2014 Expired
Mexico Police – Expired
Mexico Navy – Expired
Army Mexico 3/31/2015 Not Active
Policia Federal – Expired
Procuradoria General De Justicia 12/31/2014 Active
Campeche State Governement 6/30/2014 Expired
Seg. National de Gobernacion (CISEN) 12/31/2014 Active
TaumalipasState Government 7/20/2015 Active
Yucatan State Government 11/30/2015 Active
En la lista de compradores algunos aparecen como “activos”, es decir, actuales clientes de Hacking Team. Por otro lado hay quienes aparecen con el estatus “expired” o “not active”, lo que indica que su contrato ha sido presuntamente concluido.
Todos estos datos ponen en predicamento a las autoridades. En primer lugar, porque aparecen implicadas en la lista varias instituciones que no son de procuración de justicia y en este sentido hay una presunción y hay un indicio amplio de que estas actividades serían ilegales, pues no tendrían “facultades constitucionales para llevar a cabo investigaciones”, por lo que habría habría “muchas preguntas que tendrían que ser respondidas por ellos” debido a la naturaleza invasiva de estas herramientas, agrega García.
Por otra parte, también se encuentra el tema financiero, como otro de los grandes temas que deben ser aclarados luego de que toda la información haya salido a la luz. “El tema de los contratos, de los precios, de los métodos de contratación… Son montos muy amplios. […] Parecería que hay un sobreprecio… Hay que ver los vínculos de las empresas intermediarias”, dice.
“Si se confirma que no hay autoridades con facultades de espionaje… que han contratado esto, pues podría tener consecuencias legales muy graves, incluso penales para las autoridades que hayan contratado estos servicios”, agrega García. “Tendría que investigarse cuáles son los usos que se le han dado a estas facultades… Contra quién se ha utilizado este espionaje.”
ESTADO VIGILANTE
“Podemos estar hablando de un Estado que está adquiriendo los mayores recursos tecnológicos sin ningún control. Y eso sí creo que nos puede llevar a un Estado vigilante. Un Estado que tiende al control”, dice Robles Maloof.
“Una tecnología y un procedimiento que no está sujeto a control ciudadano es un procedimiento autoritario”, agrega. “No sólo no han demostrado su uso correcto o su impacto positivo, sino –al contrario– han demostrado que se usan bajo criterios absolutamente secretos y que sólo controlan unas cuantas personas.”
Desde hace dos años, Reporteros sin Fronteras publicó una lista de “empresas enemigas de internet, mercenarios de la era digital”, entre las que se encontraban mencionadas (además de Hacking Team) Gamma, Trovicor, Amesys y Blue Coat. De acuerdo con la organización no gubernamental internacional, los productos de estas compañías “fueron o son utilizados por las autoridades de países represivos para cometer violaciones a los derechos humanos y a la libertad de información”.