El imperio 'Ilegal' de Hacking Team en América Latina

El uso del software de espionaje de Hacking Team es ilegal en muchos países de América Latina, según un nuevo informe.

|
abr. 18 2016, 1:00pm

A principios de Abril de 2014, un espía del servicio de inteligencia de Ecuador mandó una serie de correos electrónicos al servicio al cliente de Hacking Team, una compañía italiana de hackers pagados que trabaja con agencias gubernamentales alrededor del mundo.

El agente Luis Solis quería que Hacking Team agregara su software espía en una serie de documentos PDF que quería enviar. Este episodio habría sido otra simple historia de un cliente pidiendo ayuda para enviar un archivo infectado con malware—lo cual era un trámite standard para Hacking Team—si no fuera por el blanco de la investigación.

Solis, quien trabajaba para la agencia de espionaje SENAIN, no estaba intentando hackear a un traficante de droga o un supuesto criminal. Estaba intentando infectar a Carlos Figueroa, un doctor y destacado activista contrario al gobierno del Presidente Rafael Correa.

"Me sentí indignado de ver cómo una empresa italiana vendía al gobierno de mi país un software para espiar electrónicamente a ciudadanos que, como yo, criticábamos a ese gobierno"

El ingeniero de soporte de Hacking Team, Bruno Muschitiello, pareció preocuparse, no porque su cliente quisiera usar el el producto de espionaje de la compañía, llamado Remote Control System o RCS, contra un opositor político, sino porque pensó que lo iban a descubrir.

"No es una buena idea mandar tantos documentos con exploits a un único blanco. Puede ser muy arriesgado, el blanco podría sospechar algo," Muschitiello escribió en un correo.

No está claro si Muschitiello o alguien más en Hacking Team se dió cuenta que estos documentos infectados iban dirigidos a Figueroa. Pero, Solis no estaba intentando esconderlo. De hecho, en un correo a Muschitiello, el agente incluyó la captura de pantalla de una falsa invitación a una conferencia médica, uno de los documentos infectados que quería enviar a Figueroa. La captura de pantalla mostraba una dirección de correo: "dr.carlosfigue."

"Tuve cuatro direcciones de correo, y tuve problemas con todas ellas," le dijo Figueroa a la Associated Press, que escribió de este incidente por primera vez el año pasado. "También tuve problemas con Facebook. En un momento dado pareció que habían atacado todas mis comunicaciones en las redes sociales."

Al parecer Solis también uso el software espía de Hacking Team para intentar infectar a jueces y otros políticos que se oponían al gobierno de Correa, según una serie de capturas de pantallas contenidas en un correo analizado por un miembro del Tor Project.

Este es tan solo un ejemplo donde la tecnología de Hacking Team fue usada contra disidentes u opositores políticos en América Latina, uno de los mercados regionales más grandes para la compañía y donde esta práctica era más común de lo que Hacking Team admitió. De hecho, en el pasado, la compañía siempre ha dicho que examinaba a sus clientes para asegurarse que no abusaran de sus productos y también dijo que no hacía nada más que entregar una herramienta para que la policía pudiera "rastrear criminales y terroristas."

"Si le das malware de vigilancia a los policías que desaparecen estudiantes, prácticamente se lo estás dando también al crimen organizado."

En un nuevo y exhaustivo informe sobre el uso y la legalidad del software espía de Hacking Team en América Latina, la organización activista Derechos Digitales detalla algunos casos donde hubo un abuso en la utilización del spyware y argumenta que, en general, el uso de RCS en el continente fue contra la ley.

"En toda la región es ilegal" le dijo a Motherboard Gisela Pérez de Acha, una abogada y analista de políticas públicas en Derechos Digitales, autora del informe. "Y es ilegal porque [el uso de un malware por parte del estado] no está propiamente regulado."

E incluso en esos casos donde está autorizado, concluye el informe, no lo hace legal.

"Ok, hay orden judicial, pero ¿Es esto suficiente en países con instituciones democráticas colapsadas y poderes judiciales no independientes, como México?" dijo Pérez de Acha.

También hay otros problemas en los países con corrupción generalizada, dijo, ¿Cómo sabes a quién vendes tu spyware?

"En México, la policía, las autoridades y los funcionarios públicos y el crimen organizado son la misma cosa, trabajan en conjunto, trabajan en complicidad por acción y por omisión" dijo Pérez de Acha, "Dado esto, si le das malware de vigilancia a los policías que desaparecen estudiantes, prácticamente se lo estás dando también al crimen organizado."

El mapa que detalla la huella de Hacking Team en América Latina (Imagen: Derechos Digitales)

Para Hacking Team, América Latina fue un continente lleno de negocios. Varias agencias gubernamentales en siete países distintos compraron RCS a lo largo de los últimos años y la compañía negoció la venta de su software espía con otros seis países, prácticamente cubriendo todo el continente.

México fue, sin duda, su mejor mercado con 11 clientes distintos, incluyendo la agencia de inteligencia CISEN, la Policía Federal, la Procuraduría General de Justicia y cinco autoridades estatales, según documentos revelados luego del hack a la compañía. A través de los años, Hacking Team acumuló 5.8 millones de euros en México (Como referencia, el segundo y tercer mercado fueron Italia, con 4 millones de euros en total, y Marruecos, con 3.1 millones de euros.)

Quizás no debería sorprendernos que las autoridades de México pensaron que necesitarían software come el RCS de Hacking Team, dado que el país sigue en medio de una sangrienta guerra contra los carteles.

Hay pruebas que los clientes Mexicanos de Hacking Team no utilizaron su software sólo para perseguir capos del narco.

"Hacking Team continúa comercializando su producto, especialmente con los gobiernos que tienen la necesidad de investigar crímenes serios," me dijo en Marzo Eric Rabe, el portavoz de la compañía, respondiendo preguntas respecto a un anterior artículo, "Por ejemplo, los problemas con los carteles en América Latina son bien conocidos y tienen un amplio impacto más allá de la región."

Pero hay pruebas que los clientes Mexicanos de Hacking Team no utilizaron su software sólo para perseguir capos del narco. El gobernador del estado de Puebla fue quizás el que abusó más del RCS, utilizándolo para espiar a varios rivales políticos, académicos y periodistas, según correos señalados por la prensa local.

La mayoría de los clientes méxicanos, según Derechos Digitales, no tenían autorización legal para utilizar spyware como el RCS de Hacking Team, dado que sólo autoridades federales y no estatales pueden requerir autorización judicial para interceptar comunicaciones, según la constitución mexicana. Extrañamente entre los clientes de Hacking Team en México había incluso uno que no es estrictamente una agencia gubernamental, la compañía estatal de petróleos PEMEX.

La lista de clientes de Hacking Team en México, según una hoja de cálculo de la compañía, que fue filtrada después del hack.

Otros clientes, no solo en México y Ecuador, supuestamente usaron el software de Hacking Team para espiar blancos que no eran criminales ni terroristas.

En Panamá, los productos de la compañía fueron objeto de un escándalo político de alto nivel. El gobierno compró al software de vigilancia el año 2011, gastando $680,000 dólares, bajo orden directa del ex presidente Ricardo Martinelli. No está claro a quien espió el gobierno usando RCS, pero en 2014 y a último momento, el gobierno de Martinelli pidió extender su contrato con Hacking Team, justo antes de las elecciones presidenciales en Mayo de ese año, lo que ha llevado a muchos a especular que el gobierno lo quería para espiar a sus opositores políticos.

Más tarde, durante ese mismo año, después que el sucesor escogido por Martinelli perdiera de manera sorprendente las elecciones ante el poco conocido Juan Carlos Varela, los equipos de espionaje de Hacking Team en Panamá desaparecieron de manera misteriosa. Las autoridades anticorrupción de Panamá anunciaron una investigación, pero por ahora no ha salido nada de ella.

"Como panameño me sentí indignado de ver cómo una empresa italiana vendía al gobierno de mi país un software para espiar electrónicamente a ciudadanos que, como yo, criticábamos a ese gobierno" me dijo Alvin Weeden, un abogado que trabajó como controlador en el gobierno de Panamá en los primeros años de la década pasada y quien el año pasado denunció a ex funcionarios del gobierno, así como a empleados de Hacking Team. "Al no haber noticia de detención alguna sobre los panameños que denuncié pareciera que no hay intención de hacerlos responsables."

Aparte de Panamá, ningún otro país de América Latina ha anunciado una investigación sobre la compra o el uso del spyware de Hacking Team. Otros países, como Colombia, simplemente negaron tener alguna relación con Hacking Team, aunque admitieron comprar spyware de uno de los muchos intermediarios en la región. En Chile la Policía de Investigaciones, que pagó 2.2 millones de euros por el software, admitió públicamente haber comprado RCS después de que Hacking Team fuera hackeada por un misterioso hacker el año pasado, lo que puso al descubierto la mayoría de sus secretos internos, incluyendo su relación con el país latinoamericano. La agencia defendió el uso de RCS, argumentado que se usaba "de manera exclusiva en la persecución de los delitos con la respectiva autorización judicial."

En cierta manera, parece que todas las revelaciones que han salido de las filtraciones cayeron en un saco roto. Activistas de derechos humanos como Pérez de Acha y el director de Derechos Digitales, Claudio Ruiz, esperan que esto pueda cambiar, en particular considerado un "historial de autoritarismo y represión en la región," como dice el informe.

"El objetivo principal de los sistemas de investigación criminal y de inteligencia es salvaguardar la seguridad, la paz y los principios de cada país" concluye el informe, "Sin embargo cuando se usan métodos como el malware, estos objetivos se logran mediante mecanismos secretos y posiblemente ilegales, con poca rendición pública disponible cuando, precisamente y por el objetivo democrático que persiguen, deben ser objeto de controles ciudadanos y rendición de cuentas."

Meses después del hack, Hacking Team está de vuelta al negocio, pero luchando por mantenerse a flote. Y la compañía aún no ha abandonado el continente. Al principio de este año un representante de Hacking Team viajó a uno de los pocos países de América Latina que aún no han comprado RCS. Después de una aburrida presentación el nuevo potencial cliente rechazó la oferta de Hacking Team.

Hacking Team no es la única compañía que vende spyware a gobiernos alrededor o al mundo. Hay una industria entera dedicada a ayudar la policía, a los servicios de inteligencia y a otras agencias a usar herramientas de hacking para seguir la pista de los criminales. Uno de los principales competidores, FinFisher, también supuestamente vendió su spyware en América Latina, a Venezuela, Paraguay y México. Dado su historial, América Latina probablemente seguirá siendo un objetivo jugoso para los florecientes y largamente desconocidos vendedores de spyware como Hacking Team y FinFisher.