ESCÁNDALO

Cuando hackean a los hackers

Una empresa que asesora a gobiernos fue víctima de su propio invento: piratas cibernéticos le robaron información sensible y desataron una tormenta en toda América Latina.

11 de julio de 2015
| Foto: Ingimage

La empresa se llama Hacking Team. Literalmente traduce equipo de hacker. Y hoy es la protagonista de uno de los más recientes escándalos en el mundo de la piratería informática.

No pocos han comparado la situación con la masiva filtración de secretos de WikiLeaks o con la revelación de información confidencial que hizo Edward Snowden, el exanalista de inteligencia de la Agencia Nacional de Seguridad (NSA por su sigla en inglés) cuando reveló cómo Estados Unidos espiaba decenas de países.

El caso Hacking Team estalló la semana pasada y, sin duda alguna, comenzó con una gran ironía a la que se le podría aplicar un adagio popular: una cucharada de su propia medicina. La razón es simple. Esta compañía, que en términos sencillos ofrece programas para evitar ser ‘hackeados’ y ‘hackear’, fue a su vez víctima de hackers que entraron a sus sistemas y publicaron en internet más de 400 gigas de información confidencial de la compañía. Correos internos entre los integrantes de la empresa, lista de clientes, países y agencias de seguridad en todo el mundo que los han contratado hacen parte de los datos que circulan libremente por la red. No se trata de un asunto menor.

No solo por el simple hecho de que la reputación de esta empresa quedó por el piso si se tiene en cuenta que no pudo evitar ataques de hacker, que es uno de los muchos servicios que ofrecía a sus clientes en todo el planeta. Lo realmente escandaloso está en el contenido de parte de la información que los piratas informáticos revelaron y que ha desatado una tormenta en varios países del mundo, especialmente en algunos de América Latina.

Parte del ruido que ha acaparado titulares en diversas partes del continente tiene que ver con la historia misma de Hacking Team. Se trata de una pequeña compañía con sede en Milán, Italia, creada por dos ingenieros italianos que hace 15 años desarrollaron una herramienta informática capaz de robar contraseñas, chuzar celulares y manipular remotamente computadores. La Policía italiana comenzó a usar esa tecnología con el fin de combatir el crimen y eso se convirtió en el trampolín de la empresa que empezó a crecer rápidamente y a tener clientes en fuerzas de Policía y seguridad en diferentes lugares.

El problema es que, aunque se promocionaba como una compañía que ofrecía herramientas para ayudar a gobiernos y a fuerzas de la ley a combatir terroristas y delincuentes, la gama de servicios que entregaba empezaron a ser duramente cuestionados por el uso que algunos de sus clientes le empezaron a dar. La aplicación que desarrollaron es conocida con el nombre de Da Vinci o Galileo y le permitía a quien la compraba una variedad de opciones informáticas. Los cuestionamientos contra Hacking Team comenzaron hace un par de años cuando el instituto universitario canadiense Citizen Lab los denunció públicamente de vender esa herramienta a gobiernos cuestionados, y de usarla como instrumento para la violación de los derechos humanos. Unos de los casos documentados fueron Sudán, Marruecos, Etiopía y Emiratos Árabes en donde se habría usado para interceptar correos y comunicaciones de periodistas, activistas y opositores. Por esta razón, la ONG Reporteros sin Fronteras declaró a la empresa como “enemigos de internet”, por vender sus servicios a Estados opresores.

Con el tiempo Hacking Team empezó a ofrecer sus servicios en Iberoamérica. Unas veces de forma directa y otras por intermedio de empresas localizadas en cada país que actuaban como sus ‘socias’ o representantes. España, México, Honduras, Panamá, Colombia, Ecuador, Chile, Brasil y Paraguay hacen parte de la lista. En algunos de estos lugares los servicios de inteligencia, la Policía, el Ejército, ministerios y gobernaciones compraron la aplicación de Hacking Team. Pero todo esto quedó al descubierto la semana anterior, gracias a la filtración de los correos internos de la empresa.

En el caso de Colombia se conoció que la Policía había adquirido algunas de esas herramientas por intermedio de Robotec, una firma local, socia de Hacking Team. Inicialmente se afirmó que habían sido compradas por la dirección de inteligencia de esa institución. Sin embargo, la realidad es que no es cierto. Incluso en los mismos correos internos de la compañía hay varios e-mail, como uno fechado el 13 de marzo de 2014, en donde un representante de Robotec le informa a Hacking Team que esa dirección había rechazado la oferta para usar esas herramientas por no considerarla útil. No obstante, la oficina de telemática de la Policía y el Gaula sí compraron algunas aplicaciones para usarlas en la lucha contra el secuestro y la extorsión, como lo aceptó esa institución en un comunicado a comienzos de la semana anterior.

En los miles de correos que fueron ‘hackeados’, el representante de Hacking Team en Colombia les contó a sus jefes en Italia de reuniones que tuvo para presentar y tratar de vender las herramientas informáticas con otra gran variedad de instituciones en el país. Hay mails hablando de citas con la Dirección Nacional de Inteligencia (DNI), la Central de Inteligencia Técnica del Ejército (Citec), oficiales de inteligencia militar, de la Armada, el Ministerio de Defensa e incluso con miembros de la Fiscalía e informática del CTI. Sin embargo, muchas de esas reuniones no ocurrieron y en otros casos no pasó de un infructuoso intento por comercializar el producto. Por cuenta de la filtración el nombre de todas las entidades quedó afectado. Dentro de los correos ‘hackeados’ también se menciona la reciente cumbre antidrogas que se celebró en Cartagena hace dos meses con la presencia de 120 países. Se habla de los encuentros con policías y agencias de otros países, entre ellas la DEA y el FBI, a las que los representantes de Hacking Team les hicieron presentaciones sobre los servicios que ofrecían.

De acuerdo con los e-mail filtrados, el capítulo sobre Colombia y la cuestionada empresa realmente no tiene mucho de revelador o grave. Falta por ver qué repercusiones pueden haber en otros países por los miles de documentos que un grupo de hackers le robó a otro.