Picture of the author
Published on

Gobiernos de América Latina estuvieron involucrados con “Hacking Team” la cuestionada empresa de espionaje

Authors
Hacker Team

Francisco Olivares

América latina se ha convertido en una de las regiones en donde gobiernos y grupos de poder han acudido con mayor interés en la contratación de hackers especializados y empresas de espionaje para favorecer tendencias políticas, robar información o construir escenarios ficticios a través de falsas noticias e incluso con la creación de portales con falsas posiciones a favor de líderes o tendencias políticas. Organizaciones de investigación como Citizen Lab, de Canadá, o Derechos Digitales han hecho seguimiento a varias de estas firmas y grupos de “cyberespionaje” que se han asentado en Latinoamérica y Estados Unidos, generando crisis políticas con efectos en la estabilidad democrática y ascenso de sectores y gobiernos autocráticos.

Un informe realizado por Derechos Digitales, “HACKING TEAM MALWARE PARA LA VIGILANCIA EN AMÉRICA LATINA” revela que países de la región latinoamericana estuvieron involucrados con “Hacking Team” la cuestionada empresa italiana creadora de Remote Control System (RCS), un software espía que se vende a organizaciones gubernamentales alrededor del mundo. Brasil, Chile, Colombia, Ecuador, Honduras, México y Panamá, entre otros, compraron licencias para el uso de Galileo o DaVinci, los nombres comerciales de RCS. Argentina, Guatemala, Paraguay, Perú, Uruguay y Venezuela contactaron a la empresa y negociaron precios, aunque no hay información respecto a si las ventas fueron concretadas. Las compras y negociaciones se hicieron través de empresas intermediarias. Las más recurrentes fueron Robotec, en Colombia, Ecuador y Panamá, y NICE Systems, en Colombia, Honduras y Guatemala. Las negociaciones se realizaron en secreto, hasta que el 5 de julio de 2015 se expusieron públicamente 400 GB de información de la empresa, incluyendo correos electrónicos, facturas, documentación interna y parte del código de Hacking Team por una filtración, aparentemente realizada por un hackers. Según explica el informe, RCS es un software capaz de acceder a cualquier tipo de información contenida en una computadora o teléfono celular: contraseñas, mensajes y correos electrónicos, contactos, llamadas y audios de teléfono, micrófono y webcam, información de herramientas como Skype y otras plataformas de chat, posición geográfica en tiempo real, información almacenada en el disco duro, cada una de las teclas apretadas y clics del mouse, capturas de pantalla y sitios de internet visitados, y más. En otras palabras, prácticamente todo lo que transcurre en un equipo personal.

Lo que hace ese sistema

Galileo y DaVinci son algunos de los nombres comerciales con que se conoce a Remote Control System (RCS), programa de monitoreo de comunicaciones creado con un objetivo “legítimo”: combatir la delincuencia. La traducción literal de RCS, “Sistema de Control Remoto”, revela el funcionamiento del programa: una vez que

los dispositivos son inoculados, pueden ser controlados a distancia. Lo que distingue a RCS con el resto de formas de vigilancia tradicionales –como las escuchas telefónicas– es que no solo tiene acceso a conversaciones y comunicaciones, sino que puede capturar todo tipo de información, imágenes y datos que se encuentren en las computadoras o celulares afectados, sin que sea necesario que los mismos viajen por internet. Es decir, no interviene comunicaciones únicamente, tiene acceso a datos estáticos en los dispositivos. RCS incluso permite tener acceso a correos y comunicaciones cifradas, además de podercopiar información del disco duro de un dispositivo, grabar llamadas de Skype, mensajes instantáneos y saber qué contraseñas se escriben en cada sitio y en cada momento. Por si fuera poco, puede activar cámaras y micrófonos. El 5 de julio de 2015, la cuenta de Twitter de la empresa fue comprometida por un individuo desconocido que publicó un anuncio de una violación de datos contra los sistemas informáticos de HackingTeam. El mensaje inicial decía: "Dado que no tenemos nada que ocultar, estamos publicando todos nuestros correos electrónicos, archivos y código fuente..." y proporcionaba enlaces a más de 400 gigabytes de datos, incluidos supuestos correos electrónicos internos, facturas y código fuente; que se filtraron a través de BitTorrent y Mega . WikiLeaks retuiteó un anuncio de la violación de datos, incluido un enlace a la semilla bittorrent y por muchos otros a través de las redes sociales. El voluminoso material y los primeros análisis revelaron que Hacking Team había contratado con el ejército libanés, Sudán y los programas de espionaje también se vendieron a Bahrein, Kazajstán y países de América latina. La responsabilidad de este ataque fue reivindicada por el hacker conocido como "Phineas Fisher" (o Phisher) en Twitter. Phineas ha atacado previamente a la firma de spyware Gamma International, que produce malware, como FinFisher, para gobiernos y corporaciones. En 2016, Phineas publicó detalles del ataque, en español e inglés, como un "cómo hacerlo" para otros, y explicó las motivaciones que tuvo para realizar el ataque.

Contratos en América Latina

Con la filtración de la que la propia empresa de espionaje fue víctima de los hackers, se supo que seis países de América Latina han sido clientes de Hacking Team: Brasil, Chile, Colombia, Ecuador, Honduras, México y Panamá. Otros países como Argentina, Guatemala, Paraguay, Uruguay y Venezuela también negociaron con la empresa, pero no se pudo determinar si concretaron la compra, al menos dentro del período de tiempo cubierto por la filtración, según se detalla en el informe de Derechos Digitales. En Brasil Policía Federal Brasileña compró el software de Hacking Team, mientras que otras entidades estatales se reunieron con la empresa. La primera persona que llevó la tecnología de Hacking Team a Brasil en 2011 fue Gualter Tavares Neto, ex- secretario adjunto de Transporte del Distrito Federal, mediante su empresa Defence Tech. En los correos con el personal de Hacking Team, Tavares preguntaba si DaVinci y Galileo eran mejores que servicios similares de Elbit

Systems, Finfisher y Gamma Group. Cuatro años después de ese primer contacto, en mayo de 2015 la Policía Federal firmó un contrato con el intermediario YasniTech (la empresa que trianguló la operación) para adquirir el software de Hacking Team y utilizarlo en el marco de un proyecto piloto que duraría tres meses. Pagaron 75 mil reales a YasniTech. A su vez, YasniTech pagó a Hacking Team 25 mil euros por la licencia del programa. Se esperaba que para el tercer semestre del 2015 se cerrara la venta por 1.750.000 euros más.

Chile

El primer contacto de Hacking Team con Chile fue a través de Jorge Lorca, director de la empresa Mipoltec, en agosto de 2013, indica el informe de Derechos Digitales. Lorca le escribió a Alex Velasco, gerente regional de Hacking Team, para pautar cuatro reuniones con la Policía de Investigaciones de Chile, Carabineros de Chile, el Ejército y la Armada. La relación con la Policía de Investigaciones se formalizó en noviembre de 2014, con el Departamento de Monitoreo Telefónico (Demtel). El monto total fue de 2,89 millones de euros. Originalmente, este organismo rehusó confirmar la compra del software de espionaje, pero el día 6 de julio de 2015 emitió un comunicado oficial reconociendo su adquisición. Se mencionaba que la vigilancia se hacía con fines estrictamente legales y bajo orden judicial, aunque esto no ha sido comprobado. Según los correos de Hacking Team, el Departamento de Investigación Electrónica de la Policía de Investigaciones es el único cliente chileno de la empresa, aunque existirían más organismos interesados, incluyendo al Ejército y otros departamentos de la misma Policía de Investigaciones.

Colombia

La vigilancia de las comunicaciones ha sido parte del conflicto en Colombia, no solo contra el narcotráfico sino las organizaciones armadas. En ese contexto, precisa el informe de Derechos Digitales que el contacto entre las autoridades colombianas y Hacking Team viene desde 2008, cuando representantes del Departamento Administrativo de Seguridad (DAS) se reunieron con el personal de la empresa. De acuerdo con Fundación Karisma, los documentos filtrados plantean que, en Colombia, Galileo ha sido objeto de dos procesos contractuales. El primero fue con Robotec, la empresa predilecta de Hacking Team en América Latina. Se firmó en 2013 y está vigente hasta 2016. El segundo se refiere a un proceso de contratación que estaba casi cerrado con la empresa israelí NICE al momento de la filtración; de haberse concretado estaba extendido hasta 2018. Dentro de la Policía Nacional de Inteligencia, la Dirección de Inteligencia de la Policía (Dipol) compró el software de Hacking Team por 335 mil euros, con Robotec como socio. Posteriormente compró otra licencia de 850 mil euros a la empresa Nice y además pagaron 35 mil euros por concepto de mantenimiento anual. Los dos contratos se realizaron con fondos destinados a fortalecer la Plataforma Única de Monitoreo y Análisis (PUMA): una plataforma tecnológica adscrita a la Dirección de Investigación Criminal e Interpol de la Policía (DIJIN) que tiene como fin registrar o verificar información sobre personas vinculadas con investigaciones judiciales y coordina tareas de policía, fiscalía e incluso empresas de telefonía.

México

En un contexto marcado por desapariciones forzadas, ejecuciones extrajudiciales, tortura, impunidad y violencia contra periodistas, el Gobierno mexicano aparece además como el cliente más importante de Hacking Team a nivel mundial, gastando un total de €5.808.875 por la compra de más de 15 licencias de espionaje. La empresa que funcionó como intermediaria en las negociaciones fue SYM Servicios Integrales. Varias dependencias realizaron esta compra: el Centro de Investigación y Seguridad Nacional; la Procuraduría General de Justicia y los Cuerpos de Seguridad Auxiliar del Estado de México; la Secretaría de Seguridad Pública de Tamaulipas; la Secretaría de Planeación y Finanzas de Baja California; la Policía Federal; la Secretaría de Marina; Petróleos Mexicanos (PEMEX) y los estados de Jalisco, Querétaro, Puebla, Campeche y Yucatán.

Venezuela

Venezuela no figura como cliente en los archivos, sin embargo, el gobierno del ex presidente Hugo Chávez manifestó su interés por adquirir este tipo de software. Citando el informe, a una publicación del portal Armando.info, señala que en los correos filtrados, el equipo de ventas de Hacking Team visitó tierras venezolanas la mañana el miércoles 6 de marzo de 2013, coincidiendo con el anuncio de la muerte de Chávez, 24 horas después. Alex Velasco, el representante de ventas para América Latina, viajó en esa fecha a la capital venezolana con Alex Berroa y Richard Berroa de DTXT Corporation, una compañía de Estados Unidos dedicada a vender aplicaciones de seguridad que fungiría como intermediario en el proceso. Previo a su llegada a Caracas, DTXT Corp envió un PDF donde especificaba que “hay una instrucción presidencial” de recibirlos para mostrar la nueva solución de intercepción móvil, gracias al aumento de un 42% del uso de celulares en Venezuela en 2012. Estaba previsto reunirse con el Cuerpo de Investigaciones Científicas, Penales y Criminalísticas (CICPC), la División de Inteligencia Militar (DIM), la Dirección General de Contrainteligencia Militar (DGCIM) y la Dirección de Comunicaciones de la Fuerza Armada Nacional Bolivariana (DICOFANB). Esa misma semana se reunieron con un general del Ejército venezolano y realizaron una demostración en la que infectan en vivo un teléfono Android. El Primer Ministro no pudo llegar a la reunión debido a la muerte de Chávez. De acuerdo al informe, no hay información de si concretó alguna negociación con la empresa italiana.

Ecuador

A mediados de junio de 2015, Hacking Team ofertó sus servicios al Ministerio del Interior. Esta institución requirió “un Centro Nacional de Monitoreo a nivel país”, que empezaría a funcionar en octubre de 2016. En 2013, cuando se planteó la vigilancia masiva de comunicaciones en Ecuador, la Asamblea Nacional se pronunció sobre el tema indicando que “permitir a los prestadores de servicios de telecomunicaciones conserven información (...)específica sobre los usuarios, evidentemente podría traducirse en una transgresión al derecho a la intimidad”.

La contratación de la SENAIN se hizo a través de la empresa Theola Ltd., con sede en Belice, que a su vez es filial de Robotec Colombia. En total se gastaron 535 mil euros, más un mantenimiento de 75 mil euros al año. Según Associated Press, de los correos filtrados surgen pruebas de que el gobierno de Rafael Correa utilizó el malware de Hacking Team para espiar a Carlos Figueroa, médico y activista político, quien en 2014 fue condenado a seis meses de prisión por “injurias” al presidente. La evidencia se encontraba en una serie de correos intercambiados entre Luis Solis, funcionario de SENAIN, y Bruno Muschitiello de Hacking Team, en el que discutían cómo enviar correos que sirvieran como gancho para instalar el software de espionaje en una dirección de correo que coincide con la de “dr.carlosfigueroa”.

Historial autoritario

Otros países como Honduras, Argentina y Panamá concretaron negociaciones con Hacking Team. Guatemala, Paraguay y Uruguay también sostuvieron negociaciones. En sus conclusiones el informe señala que en América Latina las actividades de vigilancia y espionaje gubernamental resultan dignas de suspicacia, especialmente si tomamos en cuenta el historial de autoritarismos y represión en la región. Programas de espionaje tan invasivos como el de Hacking Team se prestan a abusos y violaciones de derechos humanos. El objetivo principal de los sistemas de investigación criminal y de inteligencia es salvaguardar la seguridad, la paz y los principios de cada país. Sin embargo, cuando se usan métodos como el malware, estos objetivos se logran mediante mecanismos secretos y posiblemente ilegales, con poca rendición pública disponible cuando precisamente, por el objetivo democrático que persiguen, deben ser objeto de controles ciudadanos y rendición de cuentas. Refiere que cuando hablamos sobre software como el de Hacking Team, es necesario impedir que los gobiernos tengan acceso y guarden “zero days”. Todo tipo de vulnerabilidad en aplicaciones debe ser transparentado para que no se preste a futuros abusos. Una regulación en materia de ciberseguridad sensible a esta clase de desarrollos debe ser considerada por el Estado, concluye Derechos Digitales. Una organización de alcance latinoamericano, independiente y sin fines de lucro, que tiene como objetivo fundamental el desarrollo, la defensa y la promoción de los derechos humanos en el entorno digital.