Un gran ruido se hizo esta semana, después de que la firma italiana de hackers a sueldo Hacking Team sufrió un ataque y documentos confidenciales se filtraron, dejando ver que México es uno de sus principales clientes. De acuerdo con esos documentos, entre los compradores de herramientas ilegales para el ciberespionaje están la Secretaría de Gobernación, el Centro de Investigación y Seguridad Nacional (Cisen), Pemex, la PGR, así como los gobiernos de Campeche, Baja California, Tamaulipas, Puebla, el Estado de México, Durango, Yucatán, Jalisco, Querétaro y el Distrito Federal. Entre las compras se encuentra un sistema de vigilancia llamado Remote Control System.
En junio del año pasado esto fue advertido por expertos en seguridad cibernética, y poco caso se hizo. Yo les contaba en ese entonces que cualquier gobierno o cualquier cuerpo de policía de este planeta puede comprar herramientas similares a las que utiliza la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) para vigilar a sus ciudadanos, dentro o fuera de sus fronteras.
Remote Control System, les informamos, es un programa desarrollado por la empresa italiana Hacking Team, que desde un panel de control permite controlar cualquier computadora o smartphone en el que se implante.
La empresa dice que lo vende exclusivamente a agencias de gobierno y expertos en seguridad que necesitan intervenir dispositivos electrónicos, sin ser detectados.
“Toma control de tus objetivos y monitoréalos sin importar que estén en movimiento o usen encriptación. No importa si estás detrás de un teléfono Android o una computadora Windows: Tú puedes monitorear todos los dispositivos”, dice en su página el Hacking Team.
“Remote Control System es invisible para el usuario, evade antivirus y firewalls, y no afecta el desempeño de la batería de los dispositivos”.
Con el programa puedes acceder a los archivos de tu objetivo, copiar la libreta de direcciones cada vez que lo requieras, saber cuáles aplicaciones utiliza más, así como tener una actualización en tiempo real de su calendario, contactos y saber cuándo cambia el chip del dispositivo.
También puedes copiar todas las contraseñas guardadas en el dispositivo, rastrear la actividad del ratón, grabar llamadas y mensajes, tomar fotos de la pantalla, activar la webcam, almacenar los chats, grabar audio con los micrófonos y vigilar en tiempo real a través del sistema de audio (aunque live mic sólo está disponible por el momento con los aparatos Windows Mobile).
Por si todo eso no fuera suficiente, Hacking Team ofrece con su herramienta localizar los dispositivos a través de sistemas satelitales, hacer un historial de las URL visitadas, crear conferencias telefónicas (con otro escucha invitado) e infectar los otros dispositivos del objetivo.
Les recordaba también que los detalles de esta herramienta usada por muchos gobiernos salieron a la luz, en gran parte gracias al trabajo que han realizado investigadores que han aplicado ingeniería inversa para detectar su alcance. WikiLeaks ha liberado documentos de los productos que ofrece Hacking Team a los gobiernos, desde 2008.
Sergey Golovanov, experto en malware y encargado de investigar las herramientas del Hacking Team, me dijo en una bodega en Londres el año pasado que no están interesados en este tipo de empresas que surten al gobierno porque lo que desarrollan es muy sofisticado (son herramientas que desarrollan los hackers desde el siglo pasado). Los siguen de cerca y tratan de hackearlos (como sucedió hace poco) porque los consideran una amenaza para la privacidad y una herramienta letal en contra de los disidentes políticos (periodistas, médicos, políticos, defensores de los derechos humanos, hackers, empresarios, representantes de alguna religión, el vecino de la esquina, cualquiera que los que tengan el poder definan como amenaza).
Morgan Marquis-Boire, investigador de The Citizen Lab, me explicó en un pub de Londres que investigan a empresas como Hacking Team y Gamma Group, para exponer su proliferación global y sus tácticas.
Les conté también que un reporte elaborado por Kaspersky Lab refiere que desde el incidente Aurora, en 2009, ha habido muchos reportes públicos de malware sofisticado creado por naciones. Por ejemplo, Turla, una campaña atribuida a Rusia, es descrita como una de las estrategias de ciberespionaje más complejas descubiertas hasta el momento.
Golovanov recuerda el nombre de Stuxnet, Duqu y Flame, supuestamente creados en colaboración con Israel y Estados Unidos.
Morgan Marquis-Boire me dijo que esto sirve para entender cómo es la vigilancia de las autoridades y de la policía hoy en día, y cómo será en el futuro. “Lo que necesitamos decidir en este momento es qué tan cómodos nos sentimos al ser utilizados y bajo qué circunstancias”.
The Citizen Lab es un laboratorio interdisciplinario que tiene su sede en la escuela de Asuntos Globales de la Universidad de Toronto, en Canadá, que se enfoca en la investigación avanzada de lo que acontece en la intersección de las tecnologías de la información, la comunicación, los derechos humanos y la seguridad global.
Marquis-Boire y Golovanov impartieron un taller a finales de junio en Londres, para explicar con más detalle algunos de los resultados de la investigación que llevan a cabo alrededor de estas empresas que venden herramientas de hackers a las autoridades.
Lo que han descubierto, y les preocupa, es que muchos de los objetivos de ciberespionaje de las naciones que pagan por usar el Remote Control System son periodistas, disidentes políticos y defensores de los derechos humanos.
Uno de los ejemplos que compartieron es el caso de la aplicación Qatif Today, un paquete de instalación para equipos Android que se descarga como cualquier aplicación en Google Play. Es un sistema de noticias legítimo, pero viene infectado con tecnología del Hacking Team. La conexión, dijo The Citizen Lab, es interesante, dado el reciente contexto de protestas en Arabia Saudita. Pero los investigadores dicen que no están en posición de determinar al autor del ataque.
Los ataques de Stuxnet, Duqu y Flame, recuerdan, están ligados a potencias que tienen la capacidad de contratar ejércitos de hackers para cumplir con sus objetivos. La tecnología que venden Hacking Team y Gamma Group es diferente por muchas razones: En primer lugar está disponible para todos los países que puedan pagar; en segundo, está diseñada para combatir la criminalidad diaria y las amenazas a la seguridad interna, como app.
Estas herramientas de inteligencia, que eran desarrolladas exclusivamente por hackers y militares altamente capacitados, ahora están disponibles para cualquier gobierno y cada vez más al alcance de los civiles. El problema es que nadie sabe si se está usando correctamente nuestra información, si esta actividad es legal y, algo peor, es difícil descubrir si en este momento estamos infectados.
Mientras esto sucede en el mundo, yo les recordaba en una entrega anterior que el gobierno de México se ha dado cuenta de la importancia de tener sus propias herramientas de ciberespionaje y sus centros de control de amenazas. Han descubierto que comprar paquetes como los que ofrece el Hacking Team no son suficientes para las amenazas que surgen a cada minuto en el mundo. Están conscientes de que deben invertir para vigilar y proteger sus instalaciones estratégicas, por lo que abrirán un centro de control y capacitarán a ingenieros en este arte tan sofisticado y demandado.
Por lo pronto, sobran los incrédulos que piensan que tuitear es equivalente a estar inmersos en la modernidad, y no entienden la complejidad de la infraestructura e inversiones que se están generando en el mundo para hacerle frente a las nuevas amenazas globales. Si entendieran, de verdad, pocas ganas les darían de tener el último teléfono en la mano, subir fotos a su blog o tener tantas cuentas abiertas en redes sociales. Incluso, como a mí, debería hasta darles miedo no tener tapada la cámara de su computadora.
Lo que hoy conocemos del Hacking Team y sus alianzas con México, es apenas una probadita de lo que viene. Seguimos reportando.