L'impero illegale di Hacking Team in America Latina

All'inizio dell'Aprile 2014, una spia dell'agenzia di spionaggio dell'Ecuador ha mandato una valanga di mail al team di supporto dell'Hacking Team, l'azienda italiana di hacker a pagamento che lavora con le agenzie governative di tutto il mondo.

L'agente Luis Solis aveva bisogno di Hacking Team per piazzare il suo spyware in una serie di documenti PDF che aveva pianificato di inviare. Sarebbe stata solo l'ennesima storia di un cliente che chiede una mano per mettere trappole negli allegati delle e-mail—che per l'Hacking Team è una procedura standard—se non fosse per il bersaglio scelto in questo caso.

Solis, che lavorava per l'agenzia di spionaggio SENIAN, non stava tentando di hackerare un trafficante di droga o un presunto criminale. Stava cercando di infettare Carlos Figueroa, dottore e noto attivista contrario al governo del presidente Rafael Correa.

L'ingegnere di supporto dell'Hacking Team, Bruno Muschitiello, sembrava preoccupato—non perché il suo cliente voleva utilizzare il Remote Control System (RCS) dell'azienda, uno spyware contro gli oppositori politici—ma perché pensava che l'avrebbero scoperto.

"Inviare tanti documenti con exploit ad unico bersaglio non è una buona idea, può essere molto rischioso, il bersaglio potrebbe sospettare qualcosa", ha scritto Muschitiello in una mail.

Non è chiaro se l'Hacking Team o Muschitiello si fossero resi conto che questi documenti infettati fossero destinati a Figueroa. Ma Solis non stava proprio cercando di nasconderlo. L'agente, infatti, aveva incluso in una mail a Muschitiello lo screenshot di un falso invito ad una conferenza medica, uno dei documenti trappola che voleva inviare a Figueroa. Nello screenshot si leggeva l'indirizzo e-mail "dr.carlosfigue".

"Avevo quattro indirizzi e-mail e avevo problemi con ognuno di essi", ha raccontato Figueroa all'Associated Press, che ha scritto dell'accaduto per la prima volta l'anno scorso. "Avevo problemi anche con Facebook. A un certo punto è sembrato che avessero attaccato tutte le mie comunicazioni sui social media".

A quanto pare Solis ha utilizzato lo spyware dell'Hacking Team per attaccare anche giudici e politici che si opponevano al governo di Correa, secondo una serie di screenshot contenuti in un'e-mail analizzata da un membro del Tor Project.

Questo è solo un esempio in cui una tecnologia dell'Hacking Team è stata utilizzata contro oppositori politici o dissidenti nell'America Latina, uno dei mercati regionali più grandi in cui agisce l'azienda, dove questa pratica è più comune di quanto Hacking Team abbia mai ammesso. Infatti, in passato, l'azienda ha ripetutamente dichiarato di controllare i propri clienti per assicurarsi che non abusassero dei loro prodotti, e ha sostenuto che operava semplicemente per fornire uno strumento alla polizia per "rintracciare criminali e terroristi".

In una nuova, esauriente inchiesta sull'utilizzo e la legalità degli spyware dell'Hacking Team in America Latina, la Derechos Digitales, l'organizzazione dei diritti digitali, ha elencato alcuni casi in cui si è abusato dello spyware e ha sostenuto che in generale la RCS è stata utilizzata contro la legge.

"È illegale in tutta la regione" ha detto a Motherboad Gisela Perez de Acha, avvocato e analista di politiche pubbliche per Derechos Digitales e autrice dell'inchiesta. "Ed è ilegale perché [l'uso di malaware da parte del governo] non è esplicitamente autorizzato".

E anche se in alcuni casi ci sono stati ordini del tribunale che lo hanno concesso, questi non lo rendono legale, conclude l'inchiesta.

"Ok, c'è un ordine del tribunale. Ma questo è sufficiente per paesi con istituzioni democratiche sull'orlo del tracollo e con poteri giudiziari che non sono indipendenti come nel Messico?", ha detto Perez de Acha.

Nei paesi con una corruzione dilagante c'è anche un altro problema, ha aggiunto. Come puoi sapere a chi stai veramente vendendo il tuo spyware?

"In Messico, la polizia, le autorità, i funzionari pubblici e il crimine organizzato sono la stessa cosa. Lavorano insieme, sono in combutta sia attivamente che per omissione", mi ha detto Perez de Acha. "Prendendo questo fatto per assodato, se fornisci uno spyware alla polizia e questa fa sparire degli studenti, allora è come se tu lo avessi dato al crimine organizzato".

Per l'Hacking Team l'America Latina era un continente che richiedeva il suo business. Molte agenzie governative, in sette differenti paesi, hanno comprato l'RCS negli ultimi anni e l'azienda ha negoziato la vendita del suo spyware in altre sei nazioni, ricoprendo praticamente l'intero continente.

Il Messico costituiva di gran lunga il mercato migliore, con 11 diversi clienti, inclusa l'agenzia di spionaggio del paese (CISEN), la polizia federale, la procura e 5 autorità di stato, secondo quanto trapelato da un leak di documenti dell'azienda. Negli anni, l'Hacking Team ha guadagnato in Messico 5,8 milioni di euro (per capirci, il secondo miglior mercato è stato quello italiano, per un totale di 4 milioni, e il terzo quello marocchino, con 3,1 milioni di euro).

Forse non sorprenderà che in Messico le autorità abbiano pensato di aver bisogno di un software come l'RCS dell'Hacking Team, vista l'ininterrotta e sanguinosa guerra contro i cartelli della droga.

"L'Hacking Team continua a commerciare specialmente con governi di paesi dove c'è il bisogno di indagare su crimini gravi", mi ha detto a Marzo Eric Rabe, il portavoce dell'azienda, rispondendo alle domande del precedente articolo. "Ad esempio—i problemi con il cartello della droga in America Latina sono ben noti e hanno un impatto enorme anche al di fuori della regione".

Ma ci sono prove che dimostrano che i clienti messicani dell'Hacking Team non lo utilizzavano solamente per stanare i narcotrafficanti. Il governatore di Puebla era forse il peggior trasgressore, che utilizzava l'RCS per spiare diversi rivali politici, docenti universitari e giornalisti, secondo quanto riportato nelle e-mail trapelate dal leak che sono state pubblicate sulla stampa locale.

La maggior parte dei clienti locali, secondo Derechos Digitale, non era legalmente autorizzata a utilizzare spyware come l'RCS dell'Hacking Team, visto che solo le autorità federali, e non quelle statali, possono richiedere l'autorizzazione giudiziaria per intercettare le comunicazioni, secondo la costituzione messicana. Stranamente tra i clienti dell'Hacking Team in Messico c'era un acquirente che non è esattamente una agenzia governativa: l'azienda petrolifera di proprietà dello stato, la PEMEX.

Altri clienti, non solo in Messico e in Ecuador, hanno apparentemente utilizzato il software dell'Hacking Team per spiare bersagli che non fossero criminali o terroristi.

A Panama i prodotti dell'azienda sono stati parte di un enorme scandalo politico. Il governo ha comprato il software di spionaggio nel 2011, spendendo 680.000 dollari, sotto preciso ordine del precedente presidente, Ricardo Martinelli. Non è chiaro chi abbia sorvegliato con l'RCS ma, nel 2014, il governo Martinelli ha chiesto all'Hacking Team di prolungare la sua licenza spyware proprio prima delle elezioni presidenziali che dovevano aver luogo nel Maggio di quell'anno, portando molti a supporre che il governo volesse utilizzarlo ancora per spiare gli oppositori politici.

Più tardi, durante quello stesso anno, dopo che il successore scelto personalmente da Martinelli perse sorprendentemente le elezioni contro lo sfavorito Juan Carlos Varela, l'attrezzatura di spionaggio scomparve misteriosamente. Le autorità anti-corruzione panamensi hanno dato il via ad un'indagine che, però, non ha ancora sortito nessun risultato.

"In quanto panamense, mi sono infuriato quando ho saputo che un'azienda italiana aveva venduto al governo del mio paese un software per spiare i cittadini che, come me, erano contrari al governo", mi ha detto Alvin Weeden, un avvocato che ha lavorato come direttore amministrativo per il governo di Panama nei primi anni del duemila e che, l'anno scorso, ha fatto causa ai membri del precedente governo e all'Hacking Team. "Dato che nessuno dei cittadini panamensi che ho denunciato è stato arrestato, sembra che non ci sia nessuna vera intenzione di perseguirli".

Oltre a Panama, comunque, nessun altro paese ha annunciato un'indagine sull'acquisto o l'utilizzo dello spyware dell'Hacking Team. Altri paesi, come la Colombia, hanno semplicemente negato di essere in qualche modo collegati con l'Hacking Team, ma hanno ammesso di aver comprato spyware da uno dei tanti rivenditori dell'azienda presenti nel paese. In Cile la Polizia Investigativa, che ha pagato 2,2 milioni di euro per averlo, ha ammesso pubblicamente di aver comprato l'RCS dopo che, l'anno scorso, un hacker aveva violato l'Hacking Team, rivelando molti dei suoi segreti interni, incluse le sue relazioni con il paese stesso. L'agenzia ha difeso l'utilizzo dell'RCS, affermando che era stato usato "solo per perseguire crimini con una precedente autorizzazione giudiziaria".

Da una parte sembra che l'America Latina abbia fatto orecchie da mercante nei confronti delle rivelazioni trapelate dal leak. Attivisti per i diritti umani come Perez de Acha e il direttore di Derechos Digitales, Claudio Ruiz, sperano che la situazione possa ancora cambiare, specialmente se si considera la "storia di autoritarismo e repressione" del continente, come si legge nell'inchiesta.

"L'obiettivo principale dei sistemi di investigazione e spionaggio criminale è quello di salvaguardare la sicurezza, la pace e i principi di ogni paese", conclude il report dell'azienda. "Tuttavia, quando si utilizzano strumenti come i malware, questi obiettivi vengono raggiunti tramite meccanismi segreti e potenzialmente illegali—con uno scarso dibattito pubblico—quando, dato l'obiettivo democratico che si persegue, dovrebbero essere soggetti al controllo e alla responsabilità dei cittadini.

Mesi dopo l'attacco, l'Hacking Team è tornato in affari—sebbene stia lottando per stare a galla. E l'azienda non ha rinunciato al continente. All'inizio di quest'anno, un rappresentante dell'azienda si è recato in uno dei pochi paesi dell'America Latina che non ha ancora comprato l'RCS. Dopo una modesta presentazione, tuttavia, il nuovo potenziale cliente ha rifiutato la sua offerta.

Ma l'Hacking Team non è l'unica azienda che vende spyware ai governi. Adesso in giro c'è un'intera industria che aiuta la polizia, i servizi di spionaggio e altre agenzie ad utilizzare gli strumenti di hacking per seguire le tracce dei loro bersagli. Anche uno dei suoi rivali, FinFisher, ha presumibilmente venduto spyware in America Latina a Venezuela, Paraguay e Messico. Data la sua storia, l'America Latina rimarrà un proficuo bersaglio per i prosperi e pressoché clandestini venditori di spyware come HackingTeam e FinFisher.