Documentos filtrados gracias al hackeo de un fabricante de software para vigilancia arrojan luz sobre una oscura industria, que convierte el robo de emails en una aterradora y lucrativa arma política
Imagen: Jamie Chung, tomada de The New York Times Magazine.
Mattathias Shwartz | The New York Times Magazine
La mañana del 18 de mayo de 2014, Violeta Lagunes quedó perpleja ante una serie de mensajes extraños que aparecieron en la bandeja de entrada de su correo de Gmail. Era el día de la elección del próximo líder del Partido Acción Nacional, y Lagunes, ex diputada federal, tenía una reunión de estrategia en su oficina en la ciudad de Puebla. Los correos parecían inofensivos, al menos a primera vista. Uno parecía provenir de la cuenta de un colega de confianza. Le pedía que descargara y revisara un documento. Lagunes hizo clic en la liga, pero parecía estar rota, así que le escribió a su colega pidiéndole que lo enviara de nuevo. En otra parte de su bandeja de entrada había un correo de Google, advirtiéndole que alguien había tratado de entrar a su cuenta. Mientras tanto, empezó a recibir llamadas telefónicas de aliados del PAN, quienes aseguraban haber recibido correos desde la cuenta de Lagunes que ella no recordaba haber enviado.
Fue en ese momento cuando Lagunes se preocupó. Alrededor de la 1 de la tarde llamó al colega que supuestamente le había enviado el email. Lo alcanzó en un restaurante, donde terminaba de comer con otros aliados de campaña. “Yo no te mandé ningún correo”, insistió él. Un consultor de la campaña –quien pidió anonimato para mantener su relación con otros candidatos– escuchó la conversación. Sabía de otros integrantes de la campaña que habían estado recibiendo mensajes similares: correos con títulos vagos, pidiendo al receptor revisar un documento o dar clic a una liga. Entonces se dio cuenta de que la campaña había sido hackeada.
En la votación para elegir al líder del partido, Lagunes y sus aliados en Puebla –a dos horas en carretera al sureste de la Ciudad de México– apoyaban a Ernesto Cordero, senador que prometía regresar al partido a sus raíces conservadoras. Pero el candidato titular, Gustavo Madero, era respaldado por el poderoso gobernador de Puebla, Rafael Moreno Valle. Una de las estrellas políticas en ascenso de México, Moreno Valle es cercano al presidente Enrique Peña Nieto, y ha forjado una alianza entre el PAN y el partido de este, el Revolucionario Institucional o PRI, que por mucho tiempo fue la fuerza dominante en la política mexicana. Desde que ganó la gubernatura en 2010, dicen sus opositores, las ambiciones de Moreno Valle han crecido , y ha recurrido a medidas cada vez más duras para mantener al estado de Puebla –incluidos miembros de su propio partido– bajo control. “Al principio el gobernador tenia un perfil bajo y respetuoso”, me dijo Rafael Micalco, ex líder del PAN en la entidad. “Cuando se volvió gobernador, se transformó. Ahora controla al partido con amenazas”.
La carrera por mantener el control de la dirigencia del partido en 2014 era una prueba crucial para el gobernador quien, se rumoraba, sería considerado para ser candidato a la presidencia en 2018. (En septiembre del año pasado, Moreno Valle anunció públicamente sus intenciones de contender.) Los enfrentamientos entre los dos grupos fueron especialmente intensos en Puebla, donde los partidarios de Cordero, aseguraban que el gobernador utilizaba dinero público para apoyar a Madero, aunque la oficina del gobernador ha negado las acusaciones. Poco antes de la elección, el coordinador de la campaña de Madero dijo que su contrincante estaba tratando de socavar la legitimidad del proceso. “Su estrategia es clara desde el inicio”, dijo en entrevista con una revista mexicana. “’Si yo gano, bien. Si no, me engañaron’”.
Después de la visita de Lagunes el día de la elección, sus colegas regresaron del restaurante a su cuartel general local, la sala de conferencias de un hotel al que habían apodado “el búnker”. Toda la mañana habían estado tratado de contactar a su red de operadores, un grupo de 40 representantes electorales de Cordero que estaban trabajando para alentar el voto en el estado de Puebla. Pero la red parecía haber desaparecido. Eran pocos los representantes electorales que apenas y contestaban sus teléfonos. El equipo concluyó que los hackers debían haber encontrado la lista de los representantes con sus teléfonos –ampliamente circulada por correo electrónico dentro de la campaña– y comenzaron a intimidarlos.
“El día previo”, me dijo el asesor, la red de operadores estaba “motivada y ansiosa por hacer su trabajo. Después del hackeo, era muy difícil localizarlos. Los pocos que contestaron dijeron que habían recibido llamadas donde les decían que sus vidas corrían peligro. Estaban preocupados porque pensaban que, si salían, ellos o sus familias serían lastimados.”
De acuerdo con otro de los colaboradores de la campaña de Cordero, quien también pidió anonimato por miedo a represalias, el mensaje a los representantes electorales era simple y directo: “Sabemos quién eres. Si no quieres ningún problema, apaga tu teléfono y detén tu actividad”. El colaborador agregó: “Es un régimen autoritario”.
Madero ganó la elección con 57% de los 162,792 votos emitidos. En Puebla, su margen fue sustancialmente mayor, aproximadamente por 74%. El equipo de Cordero decidió no apelar el resultado. Sospechaban que habían sido hackeados. Pero pasaría otro año hasta que surgiera alguna evidencia. Sus enemigos políticos, según documentos filtrados, habían construido una operación de espionaje usando software creado por una firma italiana llamada Hacking Team –una de tantas compañías privadas que, muy por debajo del ojo público, han surgido para ayudar a que los gobiernos vigilen las vidas privadas de los ciudadanos. La industria asegura que sus productos cumplen con las leyes locales y que son utilizados para luchar contra el crimen y el terrorismo. Sin embargo, en muchos países alrededor del mundo, estas herramientas han probado ser igualmente eficientes para el espionaje político.
En promedio, un oficinista estadounidense envía y recibe cerca de 120 correos electrónicos por día, cifra que crece cada año. La ubicuidad y utilidad del correo se ha convertido en un minucioso registro de nuestra vida diaria, llena de detalles mundanos y potencialmente vergonzosos, conservados en un archivo perpetuo, accesible desde cualquier lugar del planeta y protegido, en algunos casos, por nada más que una simple contraseña. En el caso de Violeta Lagunes, el acceso a su cuenta de correo representó un punto de vulnerabilidad, el punto de cierre que protegía las paredes digitales de su campaña, a merced sólo de su criterio, específicamente, el que le permitía determinar si un mensaje de una fuente aparentemente confiable era real o falso. Casi dos años después, John Podesta, presidente de la campaña de Hillary Clinton, se enfrentó a una situación similar. Un correo le advertía que alguien en Ucrania había tratado de entrar a su cuenta de Gmail y le pedía hacer clic en un enlace para restablecer su contraseña. Su consejero le reenvió el correo a uno de los expertos en tecnología de la campaña. “Es un correo legítimo”, le respondió, en lo que, después aclararía, fue un simple error de escritura de su parte; quiso decir que no era legítimo. “El de Gmail es REAL”, escribió el asesor a Podesta y a otro asistente.
Y así, como Lagunes, Podesta cayó en una trampa. El botón parecía dirigir a un sitio oficial de Google, pero era de hecho un sitio falso personalizado, hecho meticulosamente, con un servidor de correo ligado a un grupo de islas coralinas en el Pacífico Sur. Los detalles fueron diseñados para inducir a que Podesta escribiera su contraseña. Esta técnica es conocida como “spear phishing” (phishing de “lanza” o focalizado). Es un arma especialmente potente contra compañías y organizaciones políticas porque necesita tener éxito sólo una vez contra un blanco. Después, los atacantes pueden usar la identidad confiable de la cuenta atacada para atraer con mayor facilidad a colegas que abran archivos adjuntos infectados o hagan clic en links maliciosos. La contraseña de un correo laboral no sólo entrega años de charlas dentro de la oficina, facturas, cuentas crediticias y memorandos confidenciales; con frecuencia puede ser aprovechada para controlar otras cuentas personales –Twitter, Facebook, Amazon– e incluso acceder a los servidores y dominios de la compañía.
Los episodios de Podesta y Lagunes están lejos de ser los únicos casos en que los hackers usaron información de emails robados como un arma contra una institución entera. El incidente del “Climategate” de 2009, que expuso todo un tesoro en correos de prominentes investigadores del clima, empezó cuando hackers entraron vía remota en los servidores de una universidad británica con la ayuda de contraseñas obtenidas ilícitamente. El hackeo interno de 2014 de archivos de Sony, que oficiales estadounidenses atribuyeron al gobierno norcoreano, empezó con una serie de correos de “spear phishing” que los atacantes utilizaron para adentrarse más en los servidores de Sony. Cada ataque entregaba los pensamientos y actos más privados de los miembros de cada organización: insultos directos, disensos reprimidos, planes a medio cuajar, halagos serviles, todo registrado en el tiempo hasta la centésima de segundo en que el autor hizo clic en “enviar”. En otra era los hackers habrían tenido que involucrarse en comportamientos más riesgosos, como sobornos o robo. Ahora, en muchos casos, lo único que tuvieron que hacer fue enviar un link.
La Casa Blanca, la CIA y el FBI han asegurado que, con base en evidencia clasificada, pueden rastrear los hackeos del correo electrónico de Podesta (y otros ataques de gente cercana a la campaña de Clinton) hasta el gobierno ruso. Pero con el crecimiento de firmas como Hacking Team, entrar a las cuentas de correo de los oponentes políticos ya no requiere la cantidad de dinero y conocimiento del que disponen las grandes potencias. Un sitio web por suscripción llamado Insider Surveillance enlistó más de una docena de compañías que venden el llamado “malware ético”, incluyendo a Hacking Team, con sede en Milán, además de las firmas alemanas FinFisher y Trovicor, y la compañía israelí Nice. Comparado con las armas convencionales, el software de vigilancia está sujeto a muy pocos controles comerciales; un reciente intento de los Estados Unidos de regularlo bajo un pacto con 41 países llamado el “Wassenaar Arrangment”, falló. “La tecnología es moralmente neutral”, dice Joel Brenner, un ex inspector general de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés). “El mismo programa que utilizas para monitorear a tu niñera puede ser usado por Bashar Assad o Abdel Fattah el–Sisi para hacer un seguimiento de cualquier persona que les disguste.”
Hacking Team tiene menos de 50 empleados, pero tiene clientes en todo el mundo. De acuerdo con documentos internos, una licencia para su herramienta de espionaje, llamada “Remote Control System”, o RCS, puede costar apenas unos $200,000 dólares anuales (cerca de 4 millones de pesos) –cantidad dentro del presupuesto de cualquier tirano local. Después de que ha sido instalado subrepticiamente en la computadora o teléfono del blanco elegido, el RCS puede interceptar todo: mensajes de texto, correos, llamadas telefónicas y vía Skype, datos de ubicación y más. Mientras que los programas más conocidos del NSA captan datos en tránsito desde los conmutadores y los cables submarinos, el RCS los toma desde su origen, antes de que puedan ser encriptados. Lleva a cabo una intervención al estilo Watergate, pero invisible y digitalizada.
El gobierno de los Estados Unidos es casi con seguridad el repositorio más grande del mundo en cuanto a talento hacker, pero sus armas cibernéticas más poderosas son generalmente reservadas para agencias de inteligencia y militares. Esto podría explicar porqué, de acuerdo con documentos de la compañía, al menos dos agencias federales de seguridad pública han sido clientes de Hacking Team: el FBI, desde 2011, y la Drug Enforcement Administration, DEA, desde 2012. El FBI le pagó a Hacking Team más de $700,000 dólares (cerca de 14 millones de pesos); la DEA parece haber usado el software contra objetivos en Colombia.
Los documentos filtrados demuestran que la compañía también vendió su software a algunos de los gobiernos más represivos del mundo. Algunos, como Honduras, Etiopía, Bahrain, Marruecos, Egipto y Arabia Saudita son aliados de Occidente; otros, como Uzbekistán y Turquía, tienen una relación más complicada con este. Entre 2012 y 2014, Hacking Team recibió cerca de un millón de euros del gobierno de Sudán, al que Estados Unidos identifica como patrocinador de terrorismo. Aún más notable, dados los hechos recientes, es la relación de tres años que tiene Hacking Team con la FSB, una de las principales agencias de inteligencia de Rusia. Como con Puebla, Hacking Team utilizó un intermediario, una agencia llamada Kvant, para manejar sus ventas a Rusia. Entre 2012 y 2014, la agencia le pagó a Hacking Team 451,000 euros (casi 10 millones de pesos) para obtener la licencia del Remote Control System.
Violeta Lagunes, cuya cuenta de correo fue hackeada durante una campaña del Partido Acción Nacional | Foto: Dominic Bracco II, tomada de The New York Times.
Hacking Team asegura que siempre marca su límite ante compradores que cometen “graves abusos a Derechos Humanos”, y que le vende exclusivamente a gobiernos que operan sólo dentro de las leyes de sus propios países. En al menos un caso, David Vincenzetti, el fundador y jefe ejecutivo de Hacking Team, dijo a un vendedor que frenara la venta a un potencial cliente mexicano. “Nosotros sólo le vendemos a agencias del gobierno y de seguridad,” Vincenzetti escribió en un email. Pero en otras ocasiones hubo una actitud menos rígida dentro de la compañía. “Si uno le vende sandwiches a Sudán, no está sujeto, hasta donde sé, a la ley,” escribió un abogado de Hacking Team en un correo interno. “Hacking Team debería ser tratado como un vendedor de sandwiches”.
Al ser cuestionada sobre sus acuerdos en diversos países, la compañía respondió que “no hace comentarios sobre tratos de negocios confidenciales”. Su vocero estadounidense, Eric Rabe, me dijo que ni Rusia ni Sudán son actuales clientes de Hacking Team. (Las relaciones, escribió Rabe, terminaron en 2014 con Rusia porque “el gobierno de Putin pasó de ser un régimen relativamente amigable con Occidente a uno más hostil”, y con Sudán “por la preocupación sobre su habilidad para utilizar el sistema de acuerdo con el contrato con Hacking Team.”) Por otro lado, la compañía confirmó que el estado de Puebla era, de hecho, un ex cliente.
Hasta hace poco, la mayor parte de lo que se conocía sobre el mundo de las compañías de vigilancia privada era una cuestión de rumores y especulaciones. Los actores de la industria mantenían un bajo perfil, operando de manera discreta desde oficinas rentadas y sosteniendo reuniones en persona con potenciales clientes algunas veces al año, en escenarios cuidadosamente protegidos. Por eso fue tan notable cuando en julio de 2015 un tweet inusual apareció en la cuenta de Hacking Team. “Ya que no tenemos nada que esconder vamos a publicar todos nuestros correos, archivos y nuestro código fuente.” Después vino otro tweet, con ligas a un archivo descargable llamado Hacked Team (equipo hackeado). El archivo era enorme, 420 gigabytes de material de los servidores internos de la compañía. Dentro había 33 carpetas que contenían los contratos de la compañía, documentos de nómina, facturas, notas legales, registros de soporte al cliente y un caché de cinco años de correspondencia por correo electrónico desde el jefe ejecutivo hacia abajo.
El propio Hacking Team había sido hackeado. WikiLeaks se abalanzó sobre la brecha y rápidamente subió los correos electrónicos a una base de datos de búsqueda. Cualquiera con acceso a internet podía leer al jefe ejecutivo bromeando acerca de cómo su compañía estaba en el negocio de vender “la tecnología más malvada en la tierra.” Podías revisar el código fuente de Hacking Team, incluyendo una línea usando “bomb_blueprints.pdf» como un marcador de posición para los archivos que podrían encontrarse en el dispositivo del objetivo. En el sitio Reddit se hizo burla de los hábitos de uno de los ingenieros de Hacking Team, sobre cómo perdía el tiempo online y sobre sus propias contraseñas débiles –HTPassword!, P4ssword, Passw0rd.
Pero la exposición más dañina de la filtración fue sin duda la lista de clientes de la compañía y los nombres de algunos de sus objetivos. En Corea del Sur los periódicos se centraron en evidencia que sugería que Hacking Team había ayudado al servicio de inteligencia a manipular una elección; después de la filtración, un agente que había utilizado el sistema se suicidó. En Ecuador,
una revista encontró un correo con siete números de teléfono que el gobierno parecía haber convertido en objetivo con el RCS. Tres eran de legisladores y otro del alcalde de Quito: los cuatro eran miembros del partido de oposición.
Con el código fuente del Remote Control System hecho público, la compañía y sus clientes tuvieron que dejar de usarlo temporalmente. A fin de año, sin embargo, Hacking Team había actualizado su producto e intentaba reconstruir su reputación. Tuve curiosidad de saber
si una empresa que se beneficia económicamente con violaciones de seguridad en línea podría recuperarse de una propia. Eric Rabe, el vocero estadounidense, sonaba ansioso por encontrarme para tomar un café en Filadelfia. Un abuelo y ex presentador de noticias en televisión, exuda credibilidad. «Si no está de acuerdo con alguien en Internet» dijo, sobre los archivos del Equipo Hackeado, moviendo su mano, «no hay necesidad de tener un debate de política pública. Sólo ve y destrúyelos.”
Un par de meses después fui a Milán a visitar las oficinas centrales de Hacking Team, un edificio de apartamentos de un gris imponente, con cajas de flores flácidas adornando unos cuantos alféizares llenos de hollín. Esperando para hacer una demostración del software de la compañía estaban Rabe; Philippe Vinci, uno de los vicepresidentes de la compañía, y Alessandro Scarafile, un joven ingeniero. Scarafile había reunido una computadora Dell de escritorio y tres smartphones: iPhone, BlackBerry and Android. La pantalla de su propia laptop, que representaba la consola de un cliente de alguna agencia de inteligencia, era proyectada en la pared. Varios iconos representaban las distintas transmisiones de datos que podían ser potencialmente adquiridas al obtener el control de la computadora-objetivo: imágenes de cámaras incorporadas, sonido de micrófonos incorporados, capturas de pantalla, registros detallados de las aplicaciones abiertas y bitcoins transferidos, un registro continuo de ubicación con latitud y longitud, y registros de libretas de direcciones, calendarios, llamadas telefónicas, llamadas y contraseñas de Skype, así como sitios web visitados. Un “keylogger” tomaba registro de cada tecla presionada. Era demasiado para poder abarcarlo todo a la vez. Otras dos proyecciones, llamadas «línea de eventos» y «línea de acciones», reunían la información en orden cronológico. Scarafile, que estaba haciéndola a la vez del cliente y objetivo, o “el tipo malo”, prendió la Dell. A juzgar por el fondo de pantalla, una escena gótica enmarcada por siluetas de castillos, nuestro objetivo parecía estar planeando un ataque terrorista desde Transilvania.
Hay tres métodos, explicó Scarafile, para insertar el Sistema de Control Remoto en el dispositivo de un objetivo. Los clientes pueden obtener acceso físico al dispositivo y luego infectarlo con una memoria USB o tarjeta de memoria. Pueden emitir el RCS mediante una red Wi-Fi. O pueden enviar al cliente un correo electrónico y hacer que haga clic en un archivo adjunto infectado – por lo general un archivo de un programa de marca como Microsoft Word o PowerPoint. Scarafile no mencionó un cuarto método, descrito por los críticos de Hacking Team y referido en sus correos electrónicos internos: la instalación de la RCS a través de un proceso más elaborado llamado «inyección de red”, que consiste en localizar la ubicación exacta del objetivo en internet mientras la persona observa, por ejemplo, el video de un gato en Youtube, y entonces se le presenta una versión adulterada de la misma página, donde el video del gato aparece en primer plano –logotipo de YouTube y todo– mientras el RCS se desplaza discretamente por las puertas digitales.
Cualquiera que sea el método de infección, el código malicioso, conocido como un «agente», se comunica con sus amos de forma anónima, y sus envíos se enrutan por una serie de servidores especializados dispersos alrededor del mundo. Incluso si el objetivo sospecha y se da cuenta de que algo está mal, esta cadena de servidores hace que sea casi imposible para él averiguar exactamente quién está usando el producto de Hacking Team para espiarlo.
David Vincenzetti, director de Hacking Team, en Milan | Foto: Luca Locatelli, tomada de The New York Times Magazine.
Para la demostración, Scarafile optó por el tercer método, al que se refirió como «un poco de ingeniería social». Usando la computadora del cliente, envió al objetivo un correo electrónico con un archivo Word adjunto. Luego regresó a la computadora del objetivo e hizo doble clic, tal como Lagunes hizo en el enlace de su bandeja de entrada. «De ahora en adelante», dijo, «este sistema estará infectado, o monitoreado, por el Remote Control System». Lo seguiría estando incluso si el sospechoso apagara su máquina o se desconectara.
En la línea de tiempo, el objetivo aparecía como un vago sin rasurar, en camiseta, llamado «Jimmy Page … jefe de la célula terrorista» Usando la Dell de Jimmy Page, Scarafile entró a las cuentas de Page de Gmail, Facebook y Twitter. Abrió Skype, consultó a los colegas criminales de Page (Don Corleone, Harry Potter, Keyser Soze) y dejó a uno de ellos un mensaje de voz desde el teléfono de Page. Al acceder a una unidad USB conectada a la computadora infectada, Scarafile abrió un archivo cifrado que contenía la orden de «matar a David Vincenzetti». RCS capturó todo, incluyendo fotos periódicas de Scarafile, como Page, en el trabajo.
«No me gustan las palabras ‘inyectar’ e ‘infectar’,» dijo Vinci, el vicepresidente. «RCS está desplegando al agente dentro del dispositivo del blanco porque quieres monitorear algunas de sus actividades. Exactamente de la misma manera en que la policía está escuchando algunas de tus llamadas telefónicas, ¿cierto?”
Rabe me había dicho que Vincenzetti era «un luchador», y que su lado combativo se manifestaba mediante un collage de recortes de revistas e impresiones clavadas en la pared junto a su escritorio – una especie de “moodboard” (tablero con muchas imágenes), como los utilizados en la industria de la publicidad para inspirarse antes de inaugurar una nueva marca. Sin embargo, el tablero de Vincenzetti, no era sobre zapatos tenis o refresco de cola. Se trataba de la lucha mundial por el poder, que parecía concebir como un gran conflicto, una batalla entre los buenos y los malos. En el lado bueno se encontraba una foto de la campana que los aspirantes a las fuerzas de operaciones especiales de la Armada de Estados Unidos (Navy SEALs) pueden tocar si quieren dejar el programa durante la Hell Week o “Semana del Infierno”, de arduo entrenamiento, y la cita de un empresario que dice “los negocios son guerra”. En el lado malo, Vincenzetti había pegado una imagen de satélite que mostraba una de las zonas de mayor tensión internacional, las islas artificiales que se alzan en el Mar del Sur de China, una línea de peones terrestres que hacen avanzar la esfera de influencia de ese país. Junto a la imagen había una gráfica sobre Irán, que mostraba cómo el país podría seguir avanzando en su programa nuclear a pesar del reciente acuerdo liderado por Estados Unidos.
«Creo que el acuerdo de Irán es terrible», dijo Vincenzetti, y luego agregó, sarcásticamente: «Oh, es una expansión muy pacífica. Muy pacifica.»
“Esa no es una posición oficial de la empresa,” intervino Rabe.
Vincenzetti, ahora de 48 años, es arquetípico: un empresario ferozmente competitivo cuya existencia gira alrededor de su trabajo. Tiene una esposa, nacida en Marruecos, y no tiene hijos. Sus ojos, pequeños y de párpados pesados, le dan un aire taciturno. La mañana que nos conocimos en las oficinas del Hacking Team, llevaba jeans, un suéter abierto azul marino y una camisa de rayas, desabrochada hasta la mitad del pecho. Parecía más cómodo de pie que sentado. Mientras hablábamos en una sala de conferencias, a menudo se levantaba de forma abrupta y rondaba por la mesa, fuera para prender la máquina de espresso, mirar por la ventana o buscar una botella de agua.
«Si yo quisiera irrumpir en esta habitación, ¿cómo lo haría?», preguntó. “Hay una puerta, y hay dos ventanas.” Presionó sus manos contra los paneles de vidrio. «El perímetro es lo primero que debes asegurar», continuó. Proteger datos era lo que hacía a inicios de su carrera. Pero ahora va más allá. “Si no puedes penetrar un banco, no puedes proteger un banco. Así que cuando trabajas en seguridad, realmente no hay diferencia entre pensar ofensivamente y defensivamente.”
A mediados de los ochenta, los padres de Vincenzetti, un vendedor y una maestra de escuela, le compraron un Commodore 64, una de las primeras computadoras personales. Pronto creó un clon de Pac-Man, un juego estilo Tron y un juego de aventuras basado en texto. Al estudiar ciencias de la computación en la Universidad de Milán en los años 90 quedó fascinado con la criptografía; tenía correspondencia con programadores de todo el mundo sobre nuevas teorías criptográficas y escribía código para el cifrado de correo electrónico. En su último año, le fue asignado el cargo de administrador de la red interna de la universidad, un puesto reservado normalmente para un estudiante graduado. Vincenzetti recuerda esos días como un tiempo en que «todo era libre y nadie trataba de hacerte daño. Estábamos abiertos de par en par y éramos accesibles. Los mejores eran llamados hackers, y yo era un hacker “.
Vincenzetti abandonó pronto la universidad y fundó tres empresas, todas ellas centradas en la ciberseguridad defensiva. Después de fundar Hacking Team en 2003, trató de vender sus servicios a la Policía italiana, pero esta dudaba de que Mafiosi y otros criminales de alto nivel se molestaran en cifrar sus comunicaciones. En Italia, la Policía también estaba acostumbrada a obtener lo que necesitara mediante intervenciones telefónicas, arregladas con diversos grados de formalidad a través de sus contactos en las empresas de telecomunicaciones. Pero después de los atentados con bomba a los trenes de Madrid en 2004, coordinados a través de teléfonos móviles e internet, tanto agentes de policía como de inteligencia no sólo en Italia sino en toda Europa se interesaron en contratar a proveedores de hackeo ofensivo, parte de una emergente carrera armamentista en pos del cifrado para el público en general. El crecimiento de Skype facilitó a sus usuarios el cifrado de sus comunicaciones, por lo que a las autoridades les urgía pagar herramientas como el Remote Control System que contrarrestaran esa ventaja. Singapur, el primer cliente no europeo de Hacking Team, firmó contrato en 2008. El negocio de Oriente Medio de la compañía despegó en 2011, un auge que coincidió con el comienzo de la Primavera Árabe.
Para entonces, Hacking Team había entrado en una fase de crecimiento, su negocio era impulsado en parte por la demanda entre los gobiernos del tercer mundo por las herramientas de vigilancia del primer mundo. Según dos ex empleados, la compañía mantuvo conversaciones con el jefe de seguridad del coronel Muammar Gadaffi, quien quería construir un plan de recolección masiva de datos que pudiera instalarse en cada teléfono móvil libio. (Rabe no confirmaría o negaría que esta reunión ocurrió y agregó: «La compañía recibe a menudo solicitudes para ofrecer servicios de los que no dispone o no vendería.») Las Naciones Unidas, que prohíbe la exportación de «armamento electrónico» a Sudán, ha investigado las actividades de Hacking Team en el país. Diecinueve miembros del Parlamento italiano firmaron una petición planteando la cuestión de si el gobierno egipcio podría haber utilizado la RCS para rastrear a Giulio Regeni, un estudiante italiano de 28 años que parece haber estado bajo vigilancia del gobierno y cuyo cuerpo mutilado apareció a la orilla de una carretera en Egipto el año pasado. El software de Hacking Team no ha sido ligado al caso, pero la compañía ha hecho negocios con el actual régimen egipcio. Como parte de la controversia, el gobierno italiano revocó temporalmente la licencia global de exportación de Hacking Team, para que durante varios meses la empresa tuviera que presentar una solicitud por cada uno de sus clientes fuera de la Unión Europea. (Cuando mencioné el caso de Regeni con Rabe, se refirió a él como «este italiano que provocó su muerte en Egipto». Y citó la política oficial de Hacking Team; la compañía no conoce ni desea conocer la identidad de la gente que sus clientes eligen como blanco. «No hay evidencia de que el software de Hacking Team tenga que ver con la desaparición de Regeni», dijo Rabe).
Entrada de las oficinas de Hacking Team en Milán | Foto: Luca Locatelli, tomada de The New York Times Magazine.
Todos los clientes de Hacking Team firman contratos que acuerdan cumplir con las leyes locales. La compañía afirma que evalúa a los clientes potenciales y estudia informes de periodistas y grupos de derechos humanos, buscando «evidencia objetiva o una preocupación legítima» de que sus productos están siendo usados de forma abusiva. Sin embargo, los documentos filtrados de Hacking Team sugieren que, en ocasiones, sus empleados se hacen de la vista gorda con sus clientes en ese tema. En el caso del gobierno de Puebla y de otros clientes latinoamericanos, los empleados del Hacking Team parecían ignorar las advertencias que indicaban que el Remote Control System se utilizaba para recabar información sobre la oposición política. En múltiples ocasiones, los clientes enviaron por correo electrónico a Hacking Team archivos adjuntos con contenido relacionado con las elecciones, incluidos datos de encuestas, formularios de registro del partido e invitaciones dirigidas a los funcionarios electos y firmadas por ellos. En lugar de preguntar qué tenían que ver estos archivos con la lucha contra la delincuencia y el narcotráfico, el equipo de soporte técnico de Hacking Team simplemente respondía el correo electrónico, como se les pedía, con un «exploit» integrado, convirtiendo el documento en una herramienta de vigilancia para ser usada contra cualquiera a quien fuese enviado. Cuando se le preguntó acerca de estos casos, Rabe respondió que los clientes «no tendrían por qué usarlo con fines políticos, pero no creo que sea razonable esperar que un programador italiano (por ejemplo, un técnico de soporte), haya visto estos archivos y supiera lo que estaba sucediendo…Creo que es demasiado esperar que un tipo italiano que trabaja con software pudiera saber que un individuo es un disidente”.
El crítico más persistente de Hacking Team es Citizen Lab, un grupo de investigación de la Escuela Munk de Asuntos Globales de la Universidad de Toronto. Antes de la filtración de “Hacked Team”, Citizen Lab documentó casos en los que el software de Hacking Team apareció en dispositivos de activistas en Marruecos y los Emiratos Árabes Unidos, así como de un periodista etíope–estadounidense en Alejandría, Virginia. Ronald Deibert, director de Citizen Lab, me dijo que Hacking Team «es una empresa que parece no tener controles internos sobre el uso abusivo de sus productos». Cuando le pregunté a Vincenzetti sobre esto, dijo que Citizen Lab estaba motivado por dinero, señalando que el grupo ganó una subvención de un millón de dólares una semana después de que publicara un informe sobre las ventas de Hacking Team a Etiopía. «Su identidad», dijo, “es ‘Soy el protector de la libertad de expresión, soy el defensor de la libertad y la democracia’. Está bien. Yo también lo soy. Todo tipo racional lo es.» Si Citizen Lab realmente se preocupara por el bien y el mal, dijo, estaría luchando contra China e Irán.
Casi inmediatamente después de que los documentos de “Hacked Team” estuvieran en línea, fueron analizados por R3D, un grupo de libertades civiles con sede en la Ciudad de México. Luis Fernando García, director de R3D, dice que la intimidación y la vigilancia en línea han aumentado durante la presidencia de Enrique Peña Nieto, y recordó cuando Citizen Lab, publicó en 2014 un informe que rastreaba una cadena de servidores asociados con Hacking Team, con la que se transferían datos a través de Hong Kong, Londres, Amsterdam y Atlanta ,antes de terminar en algún lugar en México. Exactamente quién estaba en el extremo receptor del tráfico y lo que estaban haciendo con él era desconocido en ese momento, pero ahora el equipo de R3D reconoce que esta podría ser su oportunidad de averiguarlo.
Poco después, R3D publicó tres facturas del cache de “Hacked Team” que mostraban cómo un gobierno estatal –-el de Jalisco, en la costa del Pacífico– había pagado a la compañía casi medio millón de euros por el Remote Control System. Pronto otros documentos encontrados en la filtración implicaron a otros estados, incluida Puebla, aunque la mayoría de los estados negaron haber usado el software alguna vez. (Jalisco admitió después haber comprado el sistema para su Procuradoría de Justicia). La historia no consiguió mucha atención en la prensa mexicana, salvo en Puebla, después de que R3D se conectara con Lado B, un pequeño sitio de noticias en línea. El nombre del sitio se traduce en inglés como «B Side”, haciendo referencia al reverso de un sencillo en LP, lo que simboliza su dedicación a contar historias que nadie más contaría.
El editor de Lado B, Ernesto Aroche, no se sorprendió de que el gobierno de Puebla estuviera utilizando el Remote Control System. En los seis años que Moreno Valle ha ejercido como gobernador, ha hecho gastos excesivos en nuevos sistemas de vigilancia, incluyendo múltiples «arcos de seguridad» –estructuras en las autopistas que escudriñan el tráfico con cámaras de video y rayos X– cuyo costo fue cuestionado por la prensa local. A partir de 2013, Aroche encontró en el sitio web del estado de Puebla varias solicitudes para adquirir cámaras ocultas y otros equipos de espionaje. Cuando hizo una solicitud de información al respecto, la respuesta del gobierno fue que tales órdenes nunca se hicieron, ante lo que Aroche se mostró escéptico, dada la creciente evidencia de que la administración de Moreno Valle había comenzado a usar su aparato de seguridad con fines políticos. Hubo allanamientos frecuentes a casas de políticos y periodistas disidentes, donde los ladrones se llevaban poco más allá de las laptops de las víctimas. Los políticos respondían a llamadas de números desconocidos, sólo para escuchar sus propias conversaciones grabadas. Otro periodista, Fernando Maldonado, recibió un sobre en blanco que contenía, supuestamente, transcripciones de 400 llamadas telefónicas privadas hechas por políticos de Puebla.
Al examinar el archivo de “Hacked Team”, Aroche y R3D descubrieron que los archivos de Puebla tenían más detalles que los de cualquier otra cuenta de Hacking Team en México. El cliente de Puebla a menudo escribía correos pidiendo ayuda para infectar un documento en particular con un virus malicioso. Algunos de ellos provienen de una cuenta –-soporteuiamx@gmail.com-– que también aparece en muchos de los recibos de soporte interno de Hacking Team. Uno de estos documenta la solicitud de ayuda de un cliente para infectar un archivo adjunto: la invitación al evento de una organización política mexicana, firmada por Violeta Lagunes y dirigida a otro colega del partido, opuesto al gobernador.
Aroche entrevistó a políticos y periodistas receptores de los emails infectados, contenidos en la información filtrada de “Hacked Team”. De acuerdo con un artículo de 2015 publicado por Lado B en colaboración con un sitio web de política, el grupo de Puebla envió a Hacking Team al menos 47 solicitudes para infectar archivos específicos que luego transmitiría a sus objetivos. Casi todos esos archivos tenían que ver con cuestiones políticas. A través de los materiales del Hacked Team, Aroche encontró el nombre de un empleado del gobierno de Puebla que parecía estar trabajando dentro de la operación de espionaje. «Antes de eso, habíamos estado hablando de fantasmas», me dijo Aroche. “Ahora podíamos demostrarlo. Empezamos a poner nombres en los actores.”
Más de un año después, no ha habido repercusiones políticas ni para el gobernador o sus aliados en Puebla. Conocí a Aroche este otoño en las oficinas de Lado B, una pequeña habitación que da a un patio en un edificio de la época colonial de Puebla, de piedra, casi en ruinas. El único indicio de la presencia de Lado B era una pequeña estampa en la ventana. Dentro, Aroche hojeaba el contenido de un sobre con documentos que había logrado arrebatar al gobierno del estado. Dos contratos redactados firmados por funcionarios de Puebla evidenciaban un acuerdo entre el gobierno estatal y una empresa llamada Sym Servicios Integrales, que la investigación de Aroche había identificado como un intermediario para Hacking Team. Los detalles de lo que se compró habían sido borrados. «Estos contratos demuestran que el gobierno de Puebla tenía una relación comercial con esta compañía», dijo Aroche. «Perdón si están un poco manchados, les tiré un poco de café.” (Sym Servicios Integrales dice que «nunca vendió la tecnología HT al estado de Puebla.”)
En una breve declaración escrita por su portavoz Sagrario Conde Valerio, el gobierno de Puebla negó las acusaciones de espionaje y aseguró que «no existe ni ha existido nunca relación entre el gobierno de Puebla y la compañía Hacking Team.” El gobierno rehusó responder a una lista de preguntas.
Sin embargo, un ex funcionario de la administración de Moreno Valle me aseguró que se estaba desviando más de 1 millón de dólares del presupuesto estatal anual para financiar la unidad de espionaje político. Documentos de Hacked Team indican que Hacking Team recibió una orden del gobierno de Puebla por 415,000 euros (poco más de 9 millones de pesos) en la primavera de 2013 y que Hacking Team reservó habitaciones de hotel para tres de sus asociados que viajaron a Puebla en mayo de ese año.
Parte del entrenamiento para el uso del RCS tuvo lugar, según me informaron, en un edificio verde en una calle residencial. Cuando visité el supuesto sitio este otoño, el letrero sobre la puerta decía que el edificio había sido escuela alguna vez. Ahora tenía barrotes en la entrada y ventanas polarizadas. Los vecinos me dijeron que había sido abandonada durante varios meses. «La gente va y viene“, dijo una mujer. «Eran muy sigilosos. Dejaban equipo, se llevaban el equipo. Luego, un día, hace más o menos un año, vinieron y se llevaron todo, se fueron. » Otro vecino dijo que a menudo veía un coche de la policía estatal estacionado frente a la casa y un hombre con cojera entrando y saliendo –un ex agente de inteligencia, de acuerdo con alguien que estuvo presente durante el entrenamiento de Hacking Team.
México es el mayor mercado de exportación de Hacking Team, con casi seis millones de euros en ventas (132 millones de pesos), según documentos filtrados. Aparentemente, el Remote Control System está destinado a la lucha contra delincuentes y narcotraficantes. («Ha habido informes de que el software fue utilizado en la detención del Chapo Guzmán», me dijo Rabe, refiriéndose al narcotraficante mexicano. «No puedo confirmarlo».) Los archivos indican que el gobierno de al menos otros siete estados mexicanos eran clientes de Hacking Team, pero debido a que no usaban el correo electrónico en la misma medida que Puebla, sus actividades son más difíciles de rastrear. Varios ex empleados de Hacking Team me dijeron que los abusos del software no se limitaban a Puebla capital. Uno incluso describió cómo había instalado el sistema dentro de la oficina de algún alcalde.
Katitza Rodríguez, directora de derechos internacionales en Electronic Frontier Foundation, dice que la ley mexicana permite cierta intervención en las comunicaciones, como la de las líneas telefónicas, pero no da autoridad legal precisa para usar herramientas tan nuevas, poderosas e invasivas como las creadas por Hacking Team. Y sostiene que es mucho más peligrosa en México que en otros países occidentales, donde los controles son más estrictos. «Esto es mucho más invasivo que la interceptación de una llamada telefónica», dijo. «No sólo están escuchando, sino tomando el control de tu computadora portátil. México necesita debatir en el Congreso a fondo sobre las salvaguardias legales que se necesitan ante este tipo de vigilancia, o sobre si el gobierno debería usarlo en absoluto.”
Un edificio en Puebla que funcionó supuestamente como centro de entrenamiento para utilizar el software de Hacking Team | Foto: Dominic Bracco, tomada de The New York Times Magazine.
Los archivos de Hacked Team indican que a mediados de 2015, Hacking Team abrió una filial estadounidense y alquiló oficinas en Reston, Virginia, a 20 minutos en carretera de la sede de la CIA. La compañía elaboró un «Plan de acción para Estados Unidos», que contemplaba una expansión significativa en Norteamérica, con nuevas contrataciones y rondas de lanzamientos para el Departamento de Justicia, el ejército de los Estados Unidos y la Real Policía Montada de Canadá. Hacking Team también apuntaba a otro mercado potencialmente lucrativo: el Estado estadounidense y los gobiernos locales. El RCS fue presentado a las agencias policiales en San Bernardino, California; Washington, Nueva York, Fort Lauderdale y Orlando. En una evaluación de riesgos encargada por la empresa, los abogados aconsejaron que estas ventas podían ser legales, siempre y cuando el producto fuera empleado «a cierta distancia» de investigaciones reales y utilizado «en el curso normal de las operaciones gubernamentales”.
Es posible que la expansión estadounidense por parte de empresas como Hacking Team no enfrente mucha resistencia por parte del gobierno federal, que acepta cada vez más la vigilancia electrónica como parte del trabajo policiaco normal. El año pasado, el Departamento de Justicia cambió con éxito las reglas del procedimiento penal, facilitando a los agentes federales hackear múltiples computadoras con una sola orden. El senador Steve Daines, de Montana, quien intentó bloquear el cambio, reclamó que este otorgara «poder ilimitado para la piratería ilimitada». En un discurso de 2014, ahora referido en los círculos de seguridad cibernética como «Going Dark», el director del FBI, James Comey, argumentó que el cifrado de los productos de Apple representaba una amenaza para la seguridad pública, pues posibilita no sólo el terrorismo, sino el tráfico de drogas, el abuso infantil y los atropellamientos con fuga. En lugar de «una caja fuerte que no se puede violar», Comey quería que las compañías de tecnología le dieran la combinación. «La ley no ha mantenido el ritmo de la tecnología, y esta desconexión ha creado un problema grave de seguridad pública», dijo Comey. «Lo llamamos ‘Going Dark’: desaparecerse”.
Mientras el gobierno de Estados Unidos ha peleado por protecciones menos estrictas para las comunicaciones personales, empresas estadounidenses han desplegado herramientas de vigilancia más poderosas en todo el mundo. Muchas agencias policiales extranjeras ya compran productos de vigilancia electrónica de SS8 ––una compañía respaldada por la empresa Kleiner Perkins Caufield Byers-– así como de Harris Corporation, una compañía de 13,000 millones de dólares radicada en Florida y comercializada en la Bolsa de Valores de Nueva York. Al menos 25 departamentos de policía estadounidenses han utilizado el dispositivo Stingray de Harris, que imita las torres de teléfonos móviles y puede interceptar llamadas de celulares dentro de 200 metros. Todas las ventas conocidas de Stingrays a policías locales han sido autorizadas por el FBI, que desde entonces ha luchado en el tribunal para mantener esas ventas en secreto. Tan sólo en Baltimore, los Stingrays se han utilizado más de 4.000 veces, en las investigaciones de rutina de drogas. Mucho menos se sabe de otro producto de Harris, el Hailstorm avanzado, que también se vende a los departamentos de policía locales. Hailstorm es supuestamente capaz de implantar malware que toma el control de un teléfono convertido en blanco, de forma muy similar al RCS de Hacking Team.
Los documentos de Hacked Team que revelan más sobre el ethos de la compañía son al mismo tiempo los más públicos. Durante años, dos o tres veces al día, Vincenzetti envió mensajes masivos a cientos de sus contactos comerciales. Entre los beneficiarios se encontraban numerosos miembros de la comunidad militar y de inteligencia de los Estados Unidos, así como funcionarios de la ciudad de Cincinnati y del Internal Revenue Service (IRS), encargado de la recaudación de impuestos. En esos mensajes, Vincenzetti llama con frecuencia a sus lectores “caballeros”, de forma colectiva. La noticia que cita es un recordatorio de cómo los vientos geopolíticos han soplado en favor de Hacking Team y otros que se autodenominan aliados de la ley y el orden. En el mundo de Vincenzetti, el sistema siempre está, como George Tenet dijo sobre la inteligencia previa al 11 de septiembre, “parpadeando en rojo”: Medio Oriente colapsando, una Rusia inquieta, con armamento nuclear; batallones de yihadistas entrenados por ISIS deambulando por Europa con sus memorias encriptadas y experiencia en la dark-web. En este contexto de peligro creciente, la preocupación por los derechos humanos son ingenuas, en el mejor de los casos.
Los correos electrónicos de Vincenzetti explotan vividamente este sentido de peligro y alarma. Escribe sobre bandas sombrías de hackers iraníes usando el hashtag #JeSuisCharlie para inyectar malware en laptops francesas. Celebra la convicción de Ross Ulbricht, conocido también como el Dread Pirate Roberts, creador del sitio web Silk Road. Después de los arrestos de dos hombres uzbecos en Brooklyn por decir a los informantes que querían unirse a ISIS, Vincenzetti escribe que «un plan terrorista muy serio en suelo americano fracasó”.
Él continuó, aprovechando este argumento en su discurso de ventas:
Ha llegado el momento de una supervisión de internet tecnológicamente MÁS SOFISTICADA y mucho más efectiva … algo capaz de penetrar el núcleo de los foros OCULTOS de los terroristas. Y una tecnología así (absolutamente única) EXISTE.
Al día siguiente, dio unos cuantos indicios más:
Estoy hablando de una NUEVA tecnología capaz de neutralizar sus capas protectoras basadas en encriptación con el fin de rastrearlos, identificarlos, localizarlos, perseguirlos y finalmente quebrarlos. Algo que opera a gran escala. Algo diferente. Estoy hablando de una tecnología de vigilancia de masas nueva, superior y de próxima generación.
El tono del discurso de ventas de Vincenzetti era extrañamente optimista, tomando en cuenta sus terribles previsiones. Era casi como si estuviera en el negocio de vender hornos de microondas o sándwiches, no herramientas con las que podría desnudarse por completo la vida privada de los criminales (y de cualquier persona).
La ecuación no declarada de Vincenzetti –-privacidad es ocultamiento y ocultamiento es terrorismo– es menos polémica de lo que podría parecer. Un eco de apoyo puede escucharse en muchas declaraciones públicas de funcionarios estadounidenses, que Vincenzetti a menudo cortó y pegó en sus correos electrónicos masivos. El ex procurador general Eric Holder pidió «herramientas de investigación y fiscales que nos permitan ser preventivos». Cuando Comey advirtió que «el cifrado amenaza con llevarnos a todos a un lugar muy oscuro», Vincenzetti lo reenvió, aprobándolo, con el siguiente mensaje: “Nosotros SÍ TENEMOS una respuesta a muchas si es que no a todas estas preocupaciones.” Y cuando, en mayo de 2015, Comey advirtió sobre una «amenaza» que se había «transformado» en «una caótica telaraña», Vincenzetti envió toda la información a sus “caballeros”.
Un mes más tarde, un hack anónimo reveló la propia telaraña invisible de Hacking Team, y un año después, durante el período previo al Día de las Elecciones, surgieron los correos electrónicos internos del Partido Demócrata. Para entonces, era claro que las herramientas para el robo digital se habían extendido mucho más allá de los oficiales de policía regulares. Comey quería cajas fuertes más débiles; Vincenzetti vendía palancas más grandes. Pueden usarse para perseguir a Jimmy Page, arrestar al Chapo Guzmán, luchar contra el crimen, desprestigiar a un oponente político o simplemente vigilar a alguien, a cualquiera. Estar oculto es ser un terrorista: ese era el corazón de su discurso. Cualquier reducto digital que se resista a ser abierto es tanto un riesgo público como una oportunidad privada.
[quote_box_left]Reproducido con autorización de The New York Times
Traducción: Adriana Romero y Aranzazú Ayala[/quote_box_left]
PERIODISMO DE LO POSIBLE
CANIJO CONEJO
