“Somos los buenos”, dijo Vincenzetti al diario. En la entrevista y en el comunicado, el ejecutivo insiste en que el software que vende su empresa está destinado a las policías y agentes del orden del mundo.  “Nuestra tecnología siempre se ha vendido dentro de la ley, y cuando las circunstancias han cambiado, hemos terminado las relaciones con clientes como Sudán, Etopía o Rusia”.

Hacking Team ha sido señalada por varias instituciones internacionales de proveer herramientas de espionaje a gobiernos autoritarios, y hay varios casos documentados de uso de esas herramientas para la represión de disidentes. En los mismos documentos filtrados hay testimonios recientes de ventas del software al gobierno de Sudán, cuyas fuerzas de seguridad –según la ONG Human Rights Watch– “han eliminado repetida y violentamente a quienes protestan contra las políticas del gobierno”.

De hecho, la empresa se quiere hacer ver como una especie de fuerza del bien. “Ninguna otra compañía ha producido una herramienta de vigilancia legal tan exhaustiva y fácil de usar como la nuestra”, asegura en el comunicado, en el que añade que sus productos son una herramienta efectiva contra el cibercrimen: “El internet actual es un puerto seguro para criminales como los que atacaron a Hacking Team, pero también para terroristas, traficantes sexuales, asesinos, distribuidores de narcóticos y otros malhechores”.

El software quedó obsoleto

Parte de lo que se filtró fue el código fuente de algunos de sus productos, algo que la misma Hacking Team admitió. Pero en la entrevista, Vincenzetti desestimó la gravedad de la situación. “Después de unas semanas sin mantenimiento Galileo [una de las herramientas que vende la empresa] se convierte en inútil, porque las contramedidas surgen continuamente”. El software de Hacking Team es, básicamente, malware que aprovecha las vulnerabilidades del software instalado en los equipos de la víctima, y cuando esos huecos de seguridad son ‘parchados’, el software pierde eficacia. El mantenimiento consiste entonces en estar un paso adelante de los fabricantes y de la comunidad de seguridad informática.

En ese sentido, el comunicado aclara: “Es cierto que los criminales expusieron nuestro código fuente, […] pero también es verdad que estos elementos expuestos están obsoletos por la habilidad universal de detectar estos elementos del sistema”. Ya Adobe y otros fabricantes los están parchando, lo que hace que dejen de funcionar. Vincenzetti añade que el código que está actualmente disponible sí permitiría crear herramientas para que los usuarios detecten si están siendo espiados por Galileo, pero asegura que en unos días “lanzará actualizaciones que puedan superar el problema”.

“Fue un gobierno”

En este momento, no hay claridad sobre quién o quiénes vulneraron la seguridad de Hacking Team. Pero, para Vincenzetti, esta operación solo pudo haberse llevado a cabo “a nivel gubernamental. Esto no es una iniciativa improvisada: el ataque fue planeado durante meses, con importantes recursos. La extracción de los datos tomó mucho tiempo”. Por ahora, la empresa dice estar construyendo nueva infraestructura para mantener la seguridad de su información, y asegura que sus clientes están siendo mantenidos al tanto de lo que está sucediendo.

Imagen: Hacking Team (vía Twitter).

En los documentos, se conoció que los productos de espionaje de la empresa aprovechaban varias vulnerabilidades ‘de día cero’ –es decir, previamente desconocidas– de Flash para infiltrar los computadores de los que se quería capturar información. Aunque Adobe lleva una semana en una maratón de reparaciones y actualizaciones, las reacciones en la comunidad de internet han sido duras.

Este martes, Mozilla bloqueó la versión 18.0.0.203 en Firefox, de modo que el contenido que aún corre en esa plataforma no pueda correr. Adobe publicó una nueva versión que corrige las vulnerabilidades que explotaba Hacking Team.

Este es solo el desplante más reciente que ha sufrido Flash. El jefe de seguridad de Facebook, Alex Stamos, dijo el lunes en su cuenta de Twitter que “ya va siendo hora de que Adobe anuncie la fecha de muerte” de la plataforma. Aunque Stamos admitió que la compatibilidad con HTML5 no está lista en todos los navegadores, sí aseguró que esa “es la única manera de desarmar las dependencias [de los navegadores a Flash] y actualizar todo el ecosistema de una vez”. Google, antes de que se conocieran las filtraciones, ya había anunciado que las próximas versiones de Chrome comenzarían a bloquear los avisos basados en Flash que se reprodujeran automáticamente, según reporta Ars Technica.

Flash se resiste a morir

Muchas de las alarmas de seguridad que se disparan regularmente tienen que ver con vulnerabilidades de Flash, y aunque Adobe actualiza todo el tiempo su herramienta para tapar esos huecos, Flash arrastra mucha mala fama: es inseguro, consume muchos recursos y ya no es imprescindible. Muchos usuarios avanzados lo desactivan por defecto en sus navegadores, y la comunidad de desarrollo web parece percibirlo como un obstáculo para la evolución, como un vestigio que ya va siendo hora de superar. A pesar de esto, una buena parte de la publicidad web sigue prefiriéndolo y resistiéndose al cambio, y esa es la principal razón por la que sigue vivo.

Imagen: ENTER.CO.

El hackeo se hizo evidente cuando la cuenta de Twitter de la empresa fue tomada el domingo por un grupo de hackers que publicaron los primeros documentos. Según The Guardian, la empresa recuperó el control de la cuenta en la mañana del lunes, pero para entonces los documentos estaban ampliamente difundidos en internet.

La empresa confirmó el ataque en la noche del lunes, y aunque un grupo de hackers que ya había roto la seguridad de una empresa similar el año pasado se atribuyó el ataque, esto no ha sido verificado.

Lo más relevante que se ha descubierto hasta ahora son evidencias de que Hacking Team les vende servicios de cibervigilancia a gobiernos que invaden la privacidad de los usuarios de internet o que restringen la libertad de expresión en la red. Según un comunicado de la ONG Privacy International, los documentos filtrados “al parecer muestran cómo Hacking Team asiste a algunos de los gobiernos más represivos del mundo –desde Bahrein hasta Uzbekistan– para espiar a sus ciudadanos“.

Otros documentos conocidos apuntan a que hubo movimientos de dinero entre la empresa y el gobierno de Sudán, ampliamente conocido por reprimir a los disidentes; y a que la empresa le vendió programas de ciberinteligencia a empresas privadas en Brasil a pesar de que dice que sus únicos clientes son los gobiernos y las autoridades públicas.

La policía colombiana le habría pagado 335.000 euros a Hacking Team

Según algunas de las primeras filtraciones, la Dirección de Inteligencia de la Policía Nacional de Colombia es uno de los clientes de Hacking Team. En un tuit, la organización mexicana R3D, que hace activismo a favor de los derechos digitales, asegura que, según los documentos filtrados, las compras del gobierno colombiano le produjeron ganancias a la empresa por 335.000 euros. Cabe recordar que Colombia, desde hace un par de años, amplió sus capacidades de ciberinteligencia por medio del programa Puma.

México sería el mejor cliente de Hacking Team, con compras que superan los 5,8 millones de euros.

Al parecer México es el país que más pagaba a #HackingTeam para espiar a sus ciudadanos: pic.twitter.com/Umt0edhtzp

— R3D (@r3dmx) julio 6, 2015

¿Qué vende Hacking Team?

Organizaciones como Privacy International y Reporteros sin Fronteras (RSF) le han seguido la pista a Hacking Team por años. RSF, por ejemplo, la calificó en 2013 como uno de los ‘enemigos corporativos de internet’, pues “vende productos que se pueden usar por los gobiernos para violar los derechos humanos y la libertad de información“. La filtración parece confirmar esa información, que se especulaba hace meses y siempre había sido negada por la compañía.

Una investigación de Privacy International (PDF), publicada en abril de este año, reveló el funcionamiento de sus dos productos más vendidos: Galileo y Da Vinci.

Son, básicamente, software de control remoto de sistemas informáticos. Según la ONG, se instalan en el objetivo como un troyano –un malware camuflado en otro aparentemente inocuo–, son indetectables por el software de seguridad para consumidores, y permiten “sobrepasar el cifrado del software de comunicación común, registrar llamadas de Skype, correos, mensajes instantáneos, registros de navegación web, archivos eliminados y fotos de la propia webcam del computador“.

Una publicidad de Hacking Team conocida por la ONG asegura que se pueden instalar en computadores con Windows y OSX, y en celulares inteligentes con iOS, Android, Symbian y BlackBerry. Su poder radica en que permitirían espiar la actividad a un usuario que use canales de comunicación cifrados, pues se instalan dentro del mismo equipo.

La ONG dice que la empresa tiene 50 empleados distribuidos en sus sedes de Italia, Singapur y Estados Unidos.

Imagen: Hochgeladen von Colin (vía Wikimedia Commons)