400 GB de datos internos de Hacking Team han sido comprometidos, accedidos y publicados en un archivo .torrent que cualquiera puede descargar y husmear. La compañía ofrecía sus servicios a gobiernos y agencias de todo el mundo en tareas de vigilancia, espionaje y control de objetivos. Así funcionaba.
Los orígenes de Hacking Team
En 2001, un par de programadores italianos llamados Alberto Ornaghi y Marco Valleripublicaron una herramienta open source y gratuita llamada Ettercap. Era capaz de robar contraseñas, realizar escuchas y manipular remotamente un ordenador infectado.
La popularidad de Ettercap comenzó a aumentar hasta que unos años más tarde ambos programadores recibieron una llamada amistosa de la policía de Milán. Ese amistosa no es irónico, el cuerpo de policía de la ciudad había sabido ver por encima de las potenciales y evidentes infracciones para las que se podía estar utilizando Ettercap y le habían encontrado un uso mucho más interesante: el suyo propio.
Así, la policía de Milán se convirtió en el primer cliente oficial para la pequeña consultoría que mantenían ambos desarrolladores. De ahí nacería con el tiempo Hacking Team, que en la actualidad mantiene en torno a medio centenar de personas bajo nómina. Desde 2007, la compañía ha recibido capital de dos fondos de inversión italianos: Innogest y Finlombarda.
Qué datos podía espiar Hacking Team
Hacking Team siempre procuró mantenerse tan a la sombra como las mismas personas a las que sus clientes perseguían. Su suite de seguridad, que comprendía un gran número de herramientas y funcionalidades distintas se englobaba bajo una más grande, llamada Da Vinci. Da Vinci se configuraba y personalizaba para cada cliente según las necesidades específicas, el tipo de espionaje que se necesitase realizar y el alcance, que podía ir desde una sola persona hasta 100.000.
El presupuesto variaba lógicamente según estas variables. En 2012 David Vincenzetti, uno de los cofundadores de la compañía, aseguraba que una instalación de “tamaño medio” podía costar en torno a los $750.000 dólares/600.000 euros.
Una vez el objetivo estaba infectado, algo que se conseguía normalmente mediante phishing o métodos alternativos, Da Vinci tenía acceso potencial a todo el equipo. Era capaz de: capturar emails, chats de Skype o mensajería instantánea, capturar las pulsaciones del teclado, acceso al disco duro, a llaves de seguridad cifradas e incluso acceder al audio y a la imagen de la webcam integrada.
Según datos filtrados, a los que ya ha tenido acceso Forbes, Da Vinci podía acceder incluso a las conversaciones de WhatsApp. A efectos prácticos, es como si un investigador fantasma estuviese detrás del objetivo observando, leyendo y escuchando todos sus movimientos. Da Vinci era más potente incluso que el controvertido programa PRISM desarrollado en secreto por la NSA estadounidense. Y era invisible, puesto que se actualizaba periódicamente, para la amplia mayoría de antivirus y sistemas de seguridad disponibles en el mercado.
La legalidad de las actividades de Hacking Team
A efectos legales, la mayoría de países contemplan dentro de su legislación las actividades derivadas del uso de Da Vinci cuando se trata de individuos que puedan suponer un potencial peligro para la seguridad de la nación.
Aunque nunca divulgó información concreta de clientes ni de países, Hacking Team siempre proclamó que no colaboraba con los países en la lista negra de Naciones Unidas ni con aquellos gobiernos que vulnerasen los Derechos Humanos.
La imagen de arriba muestra como la compañía consiguió convencer a un comité de dicha organización tras las investigaciones de este en torno a la posible prestación de servicios a Sudán. La siguiente, obtenida por Forbes a partir de los datos filtrados, muestra como en realidad la compañía recibió pagos (este en concreto es el segundo) por valor de casi medio millón de dólares. El valor total del contrato era de $1 millón de dólares.
No es el único caso. Hace unos años un equipo de periodistas en Marruecos contrarios al gobierno fueron perseguidos por lo que parecía una versión adaptada de Da Vinci. Citizen Lab avisaba en octubre de 2012 que Da Vinci había sido usado para monitorizar y espiar a un activista contrario a los Emiratos Árabes Unidos. La compañía llevaba ya varios años siendo objetivo de críticas y ataques por parte de varias organizaciones defensoras de los Derechos Humanos.
En los documentos filtrados aparecen los países “oficialmente” soportados, como Nigeria o Singapur y el estado actual de la suscripción (Activa/Inactiva) más algunos países “extraoficiales” en el que aparece de nuevo Sudán y, curiosamente, también Rusia. En el caso de España, el contrato con el Centro de Investigación Nacional (CNI), ese 3,4 millones de euros.
En 2013 se especulaba sí colaboraba o no con el gobierno de Estados Unidos, las filtraciones muestran que aunque no lo hacía directamente con la NSA si que lo hizo con otras agencias gubernamentales.
Antes de aclarar exactamente el alcance de los espionajes perpetrados gracias al software deHacking Team es necesario investigar y ahondar en esos 400 GB de datos filtrados pero de momento parece quedar claro que operaban más como mercenarios al precio del mejor postor antes que como un intermediario en consonancia con los Derechos Humanos y los dictámenes de las Naciones Unidas.
[Via Gizmodo]
0 Comentarios