Home » Noticias » El hackeo que desnudó a las policías del mundo y que incluye a la PDI chilena

El hackeo que desnudó a las policías del mundo y que incluye a la PDI chilena

El domingo 5 de julio en la mañana, un grupo desconocido de hackers realizó algo que para cualquiera sería insospechado: vulnerar la seguridad de unas de las compañías de seguridad digital más importantes del mundo, y que ofrece servicios a organismos de inteligencia policial, que no es otro que ofrecer virus informáticos para que las policías lo utilicen para acceder e investigar equipos digitales y sus usuarios. Dentro de los datos filtrados, se puede hallar una factura por servicios entre Hacking Team y la Policía de Investigaciones de Chile (PDI).

Gracias a esta vulneración, a este hackeo, que comprometió 400 gigabytes de información valiosa (ahora disponibles en un fichero torrent), es que podemos conocer al detalle el accionar y lo negocios de una compañía que ha sido acusada como “mercenaria”, y que incluso prestado apoyo a Sudán e Israel, estados profundamente cuestionados por sus violaciones a los Derechos Humanos. Han sido tal sus acciones, que Reporteros Sin Fronteras señaló en el 2013 a Hacking Team como una “empresa enemiga de internet”.

También nos revela cómo opera el sistema de espionaje e intercepción de equipos tecnológicos que estos distintos estados han comprado, y que comenzaría a estar operativo en chile a cargo de la PDI desde finales de noviembre del 2015. Según consta en la lista de renovaciones de clientes de Hacking Team. Se trata de un sistema de intercepción “activo” y “ofensivo”, que en la práctica es un malware (virus computacional), que se aloja en teléfonos móviles y computadores, secuestrando el micrófono y la cámara del equipo en cuestión, robando datos de archivos y contraseñas, además de interceptar las conversaciones telefónicas y digitales del equipo intervenido.

Es así que, a finales del año 2014 (entre octubre y diciembre, según consta en la documentación), la PDI, representada por Gonzalo Vásquez Calderon, del departamento de logística de dicha institución, y como intermediario a Jorge Lorca, de la empresa chilena Mipoltec, la cual ya ha estado involcrada en anteriores escándalos en compras de equipos para Carabineros, uno de ellos también vinculado a equipos de vigilancia, como lo consigna CIPER. De ese modo, y por la alta suma de 2,8 millones de dolares, el Estado de Chile, a través de la PDI, compra el servicio completo del software Remote Control System Galileo (RCS v.9.X) a Hacking Team, incluyendo software, hardware y soporte técnico hasta 31 de diciembre del 2018.

(Detalle facturación)

(Detalle facturación)

¿Qué es el Remote Control System Galileo?

The Hacking Team ofrece dos servicios: uno “defensivo”, cuyo fin es proteger datos de empresas; y otro “ofensivo”, que consiste en proveer de malwares a las agencias de investigación e inteligencia gubernamentales para que éstas intervengan activamente y “secuestren” los equipos de las personas investigadas por dichas instituciones.

Es así como surge el Remote Control System, que es la gran joya de Hacking Team, y que ha evolucionado con su última versión del 2014 a la 9.0 que es llamada como Galileo. Este software, que se compone de dos partes: la inyectada en el equipo informático de quien se pretende espiar, y el software que permite monitorear a distancia. La misma empresa se jacta que esta aplicación es totalmente invisible al usuario, y es capaz de interceptar celulares y computadores en prácticamente todos los sistemas operativos: Linux, Windows, Mac Os, iOs (iPhone), Android, Blackberry y Symbian. De ahí, el inspector o quien ejecute el programa a la distancia, puede acceder a la ubicación, a los archivos, contraseñas, contactos, interceptar llamadas telefónicas y de Skype, interacciones mediante texto, además de la capacidad de “secuestrar” tanto el micrófono como la cámara del equipo, convirtiéndolo en un verdadero micrófono plantado capaz de grabar toda conversación que se de en las cercanías del equipo.

Screenshot - 070715 - 03:06:00

Screenshot - 070715 - 03:08:24

(extraído del manual técnico del RCS 9.5 Galileo)

También, y a diferencia del sistema actuar de intervención telefónica, el sistema judicial ni las compañías telefónicas pueden realmente saber a cuántas personas realmente la policía esta investigando e interviniendo sus equipos. Puesto que ya no se trata de una acción conjunta con los proveedores de servicio, sino más bien de la inyección forzosa de un virus computacional que agente policial ejecuta, es que es imposible fiscalizar el correcto uso del software, ni si se está ocupando solamente en casos penales.

De este modo, se trata de un programa que no solo intercepta comunicaciones, sino que espía toda actividad y contenido existente en el equipo intervenido, lo que claramente excede lo establecido en el artículo 222 del Código Procesal Penal. Esto se suma a la precariedad legal existente a temas de intervención digital que amparados en una ley (19.223) muy atrasada en lo digital (es de 1993), deja en una nebulosa la legalidad del accionar de la PDI en la utilización de este programa digital.

Hacking Team y Mipoltec: dos empresas altamente cuestionadas

En relación a Chile, toda esta operación está a cargo de dos empresas de seguridad altamente cuestionadas. La primera, Hacking Team (italiana), es una de las primeras empresas que se especializa en el diseño y construcción de softwares maliciosos que ha decidido ponerse al servicio de los Estados y sus agencias de investigación, seguridad e inteligencia. Lo hace desde una perspectiva eminentemente comercial, y parece no ser relevante el uso que le den a dicha herramienta por parte de aquellas instituciones.

Es por ello que se listan dos agencias que aparecen como “no apoyadas oficialmente”, una de Rusia y la otra de Sudán, este último Estado altamente cuestionado por su accionar contra los DDHH y por lo tanto actualmente es parte de las lista negra de la Unión Europea. Esto hace que Hacking Team haya decidido reservar dicho negocio y no hacerlo explícito ni público. Esto es justamente lo que le ha merecido el epíteto de empresa “mercenaria” puesto que no considera los fines que se le podría dar a su herramienta, sino más bien privilegiar vender sus productos a cualquier agencia que desee y pueda comprarlos.

(fragmento de documento de renovación de clientes)

(fragmento de documento de renovación de clientes)

Esta relación con los estados, y que estos últimos sean los clientes, es finalmente lo que hace que en vez de ser perseguidos como un grupo de piratas informáticos que violan la privacidad de los usuarios y roban información, sean amparados e incluso validado por éstos últimos. Fue así justamente como saltaron a este estado de legalidad (luego de la salida a la luz con su exitoso programa el 2001) cuando, en vez de ser perseguidos, la policía de Milán decidió contratar sus servicios. De ahí el rumbo fue ascendente y los contratos por parte de distintas agencias estatales alrededor del mundo, no se hicieron esperar. Las mismas estadísticas y datos contables de la empresa muestra que está en pleno crecimiento, siendo el 55% de sus ingresos nuevos contratos con agencias que recientemente han contratado sus servicios.

Todo esto ha generado una constante sospecha por parte de hackers y activistas digitales, que han visto en Hacking Team una empresa especialmente dedicada a proveer a los estados de herramientas para violar la privacidad y obtener información sensible de sus ciudadanos. Estas sospechas y animadversión hizo que finalmente un grupo de hackers haya decidido desenmascarar a esta emprea, y exponer sus negocios y el funcionar de su herramienta estrella: el RCS Galileo.

(Resumen de lientes que revela a Mipoltec como socio/vehículo en Chile)

(Resumen de clientes que revela a Mipoltec como socio/vínculo en Chile)

En cuanto a Mipoltec, se trata de una empresa creada en el 2013 por Jorge Lorca y Brigitte Rosas, y que inmediatamente tiene una carrera meteórica en cuanto al negocio de proveer servicios de vigilancia, espionaje y seguridad a las instituciones policiales del Estado de Chile. Jorge Lorca, de ser el técnico de una empresa Tecnodata, en un tiempo record (6 meses) logra ganar millonarias licitaciones estatales. En total, como consigna CIPER, ha ganado 13 licitaciones públicas y dos contrataciones directas.

(Jorge Lorca)

(Jorge Lorca)

Y a pesar de ya dos escándalos, uno por Tecnodata y el otro por Mipoltec, Jorge Lorca sigue siendo un enlace válido para ser el que aplique y adapte la herramienta de Hacking Team en Chile, esto siendo que su última gran intervención fue la fallida implementación de un sistema de intervención telefónica para Carabineros, que dejó a la institución sin poder aplicar el sistema, y con un enorme gasto por la compra del mismo.

En resumidas cuentas, hay serias dudas respecto a la compra de este sistema que comenzaría a operar, según la información que la misma filtración entrega, a finales de este año. En primer lugar las dudas de acudir a dos empresas altamente cuestionadas, y una de ellas que ya ha mostrado no saber responderle al estado chileno en las licitaciones (Mipoltec). Junto a ello, se pone en duda la compra de un software cuya la mayoría de sus funciones son de dudosa legalidad, comenzando en el mismo hecho de que la instalación del mismo en el aparato a espiar se hace de forma forzosa y reñida con la legalidad (la mayoría de lo métodos de inyección operan mediante el engaño o el “secuestro” temporal del equipo en cuestión). Funciones como ocupar el micrófono para captar conversaciones ocurren en el espacio real (a modo de micrófono plantado), la obtención de contraseñas, la obtención de archivos o de tomas de la cámara web se alejan de lo señalado en el artículo 222 del Código Penal, que sólo consagra la “intercepción de comunicaciones telefónicas”, y no el ocupar dicho aparato para obtener informaciones que no pertenecen a la comunicación de dichos medios. Es por ello que los sistemas de intercepción legal funcionan mediante la lógica de “hombre en el medio”, esto es, que se intercepta en algún punto en donde la comunicación existe (especialmente mediante el accionar conjunto con las compañías telefónicas), y no en el equipo mismo, como hace el RCS Galileo.

(Extraído del manual técnico del RCS 9.5)

(Extraído del manual técnico del RCS 9.5 Galileo)

Si bien en un comunicado, la PDI señala que la compra y la utilización de la herramienta en cuestión es completamente legal, quedan serias dudas si todas las herramientas que provee el RCS Galileo son lícitas en el marco legal chileno, y que de ser así, dichas herramientas no sean utilizadas efectivamente.

CJQdW9KW8AEg9Rl

Lo que si queda claro, es que es gracias a la acción de unos hackers, que se pudo descubrir un sistema que desde la “legalidad” viene espiando e interviniendo en distintos países al amparo y al servicio de sus respectivos estados. También queda claro que incluso una de las empresas informáticas de seguridad más respetadas puede ser víctima de un grupo de personas anónimas que han decidido ocupar las mismas armas que utilizaba Hacking Team para hacer rentable su negocio en su contra, y develar una red de espionaje y de violación de la privacidad muchísimo mayor a la denunciada el año anterior por Edward Snowden.

Sin duda este es uno de los Hackeo más importantes del último tiempo y que desde ayer se comenta a nivel global, sin tener aún claro -por la cantidad de datos extraídos a la empresa-  el alcance e impacto que tendrá el mismo. Varias policías en el mundo han comenzado a sacar comunicados, reuniones a nivel gubernamental de distintos países y puso en alerta a la ONU que ya había iniciado una investigación con un panel de expertos en contra de la empresa “Hacking Team”, así se constata  un golpe certero -aún anónimo y que no ha sido adjudicado por ningún hacker- contra Hacking Team, declarado por internautas y activistas digitales como un “enemigo de internet”.