Home » Noticias » Jorge Lorca, el hombre clave en compra de equipos de espionaje en Chile. Más antecedentes del Hackeo a Hacking Team

Jorge Lorca, el hombre clave en compra de equipos de espionaje en Chile. Más antecedentes del Hackeo a Hacking Team

¿Cómo opera el sistema de compra de un dispositivo de espionaje digital? ¿Qué rol tuvo Jorge Lorca y su empresa Mipoltec en dichas operaciones? A partir de los correos electrónicos de Hacking Team liberados por hackers opuestos a empresas que vulneran la privacidad de las personas, y que posteriormente al hackeo han sido indexados por Wikileaks, es que podemos comprender el cómo exactamente procedió la compra por parte de la PDI del malware (virus informático) de infiltración y espionaje Galileo, y cuál fue el rol de Mipoltec en las negociaciones. También, los mismos correos muestran las amplias redes de Lorca para poder contactar y fijar reuniones con agentes de inteligencia de casi todas las instituciones del país, además de mostrar los requerimientos exigidos en la compra y como la policía chilena pretendía usar el programa para obtener “datos” que legalmente (judicialmente) no podían obtener. Además los mismos muestran que habían otros organismos interesados en Chile en comprar el sistema computacional al momento de que Hacking Team fuera atacado y expuesto.

Desde este domingo 5 de julio, y como un cuenta-gotas, nos fuimos enterando de toda una red de espionaje entre la compañía privada italiana Hacking Team y diversas fuerzas policiales, militares y de inteligencia alrededor del mundo. Asimismo -en base a la documentación desclasificada- pudimos comprobar con documentación de que había un contrato en curso con la Policía de Investigaciones de Chile (ver nota de RVF), en la cual se le vendería e implementaría a este el producto estrella de Hacking Team: el Remote Control System Galileo, un malware (virus informático) capaz de alojarse de forma invisible en cualquier dispositivo o sistema operativo, y espiar de ahí las imágenes, los audios, los textos, además de poder secuestrar el micrófono para grabar conversaciones que se realicen cerca del celular o computador. Este contrato se iba a materializar en la implementación del sistema a finales de noviembre del 2015.

Recientemente contamos con mayor información gracias a los correos electrónicos de la compañía italiana, que rescatados, por los hackers, han sido publicados e indexados por Wikileaks. Esto nos permite conocer de forma más detallada los detalles de las compras y negociaciones de la empresa y en particular de la compra del sistema Galileo por parte de la PDI, como también conocer si hubo más negociaciones o principios de acuerdo con otras instituciones policiales, militares o de inteligencia chilenas.

También nos permite conocer más del eje de las negociaciones y los acuerdos, nos referimos a la empresa Mipoltec, propiedad de Jorge Lorca Rivera, quién parece haberse convertido prontamente en el agente y “partner” oficial de Hacking Team en Chile. Vale recordar que Jorge Lorca Rivera cuenta con un amplio historial de negociaciones exitosas en el rubro, y es reconocido por haber ganado más de 13 licitaciones con las fuerzas policiales, militares y de orden. Sin embargo, y como lo consigna también  CIPER (ver nota), dos de estas licitaciones han devenido en escándalos y en eminentes fracasos. En primer lugar el escándalo de sobreprecios  de material para el combate contra el narcotráfico en el norte durante el 2012, como también la desastrosa licitación para modernizar el sistema de escuchas telefónicas de Carabineros comprada en marzo del 2014, el cual faltaron insumos y accesorios mínimos para que el sistema fuera operativo, lo que tiene a Carabineros aun funcionando con el sistema ETI (el antiguo).

Pese a todo ello, fue la iniciativa de Lorca, lo que permitió a Hacking Team penetrar el mercado chileno de la “seguridad”. La historia comenzó hace aproximadamente dos años (2013), cuando la empresa Mipoltec estaba dando sus primeros pasos, sin embargo, y como los hechos lo demuestran, ya contaba con las redes suficientes para convertirse en un importante agente importador, negociador e implementador de dispositivos de seguridad ofensiva e inteligencia digital en el país. Fue así que en junio del 2013 se contactó contactó con Hacking Team vía correo electrónico para ofrecerse de intermediario de sus servicios. el contexto era la Expo ISS (Intelligence Support System) en Brasilia, donde Lorca fue como asistente, y el contacto con la la corporación italiana justamente tenía como fin fijar un encuentro en dicha exposición.

En dicha misiva, dirigida a David Vincenzetti, CEO de Hacking Team, Lorca explica que Mipoltec “vende, desarrolla y distribuye productos tecnológicos y soluciones para las fuerzas policiales y militares, especialmente inteligencia y unidades anti drogas”. Luego de ello pide la posibilidad de establecer una reunión con ellos. A lo que Vincenzetti contacta a uno de los agentes de venta de la empresa, Alex Velasco -quien iba a asistir a la exposición- para que tome contacto con Jorge Lorca.

Los correos parecen indicar que el encuentro se realizó, y que Jorge Lorca visitó el puesto de Hacking Team, e hizo contacto con Alex Velasco, quien le presentó el sistema Da Vinci (el predecesor a Galileo). Luego se produjo un intercambio de documentación esencial que permitió a Lorca tener los elementos necesarios para proponerlo a los eventuales clientes, y así poder concertar una reunión conjunta cuando Alex visite Latinoamérica.

De este modo, el 26 de octubre del 2013, Jorge Lorca Rivera escribió a Alex contando que ya tiene reuniones fijadas para que entre ambos puedan presentar el sistema de espionaje digital, y así obtener un suculento contrato. Tal como relata el dueño de Mipoltec, se fijaron reuniones con DIRECTEMAR (Policía marítima de la Armada de Chile), Gendarmería de Chile, DIPOLCAR de Carabineros, y la DIE (Dirección de Inteligencia Electrónica) de Policía de Investigaciones. De todas esas reuniones, solo una fracasó: la que debía ser sostenida con la DIPOLCAR. El resto de las reuniones se realizaron, aunque con problemas técnicos, de forma relativamente exitosa.Ya en este punto llama la atención la capacidad de Lorca de poder contactar y establecer una agenda con distintas instituciones policiales y de inteligencia, lo que habla de un agente muy bien ubicado en el medio.

Al parecer hubo interés inicial de las instituciones de contratar los servicios de Hacking Team, o al menos eso es lo que señalaba Jorge Lorca. Fue así que se propone desde Hacking Team hacer la misma oferta a las agencias chilenas, pero ahora no con el sistema Da Vinci (8.x), sino con el nuevo y flamante sistema Galileo (9.x), el cual tiene la virtud de poder penetrar cualquier sistema operativo de computadores y teléfonos móviles, superando casi todas las limitantes de su predecesor.

De ahí, según lo conversado entre Lorca y Velasco el 4 de noviembre, serían tres la agencias interesadas en el servicio: la DIAP (Gendarmería), DIRECTEMAR (Armada) y la DIE (PDI).En un correo del 11 del mismo mes se expone claramente los requerimientos y los elementos que se compran y se negocian: licencias de operadores y agentes, dispositivos de inyección e infección tanto físicos como virtuales, mantenimiento de sistema, capacitaciones de personal en Italia y en Chile, y licencia para dispositivos a intervenir. Esto en solicitud a lo expresado por Jorge Lorca el 4 de noviembre:

3agencias

Detalle correo, 4 de noviembre de Lorca a Velasco

De las tres agencias, solo Dirección de Inteligencia Electronica de la PDI continúa interesada y solicita para mayo del 2014 un borrador de contrato, en la cual aparece otro departamento de la PDI: el DEMTEL, el cual en la esta instancia no prosperó su participación. El detalle de lo que pediría la Policía de Investigaciones a Hacking Team, o sea, en nombre del paquete de servicios y productos se pasaría a denominar con el nombre clave de “solución tecnológica Phantom”

El 20 de mayo del 2014, desde Hacking Team se envía a Mipoltec el borrador del contrato que se celebraría entre ellos y la Policía de Investigaciones de Chile. En ella se detallan todos elementos de los dos paquetes de productos que se ofrecen. A los mencionados vectores de infección e infiltración, licencias, consolas de operación, se ofrecen también una “opción de inteligencia” y una “opción de alerta” (revisar borrador de contrato)

Finalmente, y luego de trámites y negociaciones, el contrato para la “Solución Tecnológica del sistema PHANTOM” fue firmado el 11 de diciembre del 2014, y la licencia EULA del sofware de infiltración y espionaje el día 13 de octubre del 2014. En este punto ya podemos encontrar a Gonzalo Vásquez Calderon, de la jefatura de Logística de la PDI, dirigiendo la transacción desde dicha institución. Gonzalo Vásquez es encagargado de compras públicas de la institución, y ofició como tal en la negociación, intentando revolver una serie de contratiempos que se dieron hasta poder finalizar el proceso de compra del RCS Galileo.

Entre esos problemas, el principal fue respecto a los pagos y notas switf entre el Banco del Estado, un banco italiano y también a uno en Hong Kong. Fueron numerosas las descoordinaciones, sin embargo la más notable y notoria fue el requerimiento de un banco italiano para saber de qué se trataba la mencionada “solución tecnológica PHANTOM”, para así aceptar el envió desde el Banco del Estado. Ante esto, Simonetta Gallucci escribió un correo a Gonzalo Vásquez el día 20 de marzo del 2015 para que este pudiera aclarar qué significaba ese producto, y que diera una “descripción que pueda ser entendida por alguien que no conoce nada de tecnología”. Ante ello, Vásquez responde horas más tarde que, “Para nosotros esto es un tema secreto por cuanto mientras menos sepan, mejor para nosotros”. Es el 13 abril del 2015 en que la nota swift llega correctamente al banco italiano, y dado que ya la parte correspondiente al Banco del Estado había terminado, Hacking Team decide enviar la licencia final del producto a la Policía de Investigaciones, la cual queda operativa el 15 de abril. El proceso de pago se da por enterado en Hacking Team el 28 de abril, por lo que quedó sentenciada y finalizada la transacción y el negocio, y el sistema quedó configurado a la versión Galileo 9.6, en etapa de implementación. Una verdadera victoria para la gestión de Lorca, quién realizó los contactos y se instaló como un agente válido entre Hacking Team y cualquier institución estatal que en Chile requiera sus servicios.

Mipoltec, además, sacó una interesante recompensa con este negocio, obteniendo 850 mil dolares en comisiones, y 295 mil dolares por hardware y servicios, los que están incluidos en el monto total de los 2.8 millones de dolares de la transacción.

wikihack copy

Nuevos e inconclusos negocios en curso para Hacking Team y Mipoltec: Inteligencia del Ejército y Carabineros

Como se señaló más arriba, el exitoso negocio de 2,8 millones de dolares en que participaron Hacking Team junto a Mipoltec sellaron una suerte de alianza entre la compañía de Lorca y los piratas informáticos italianos. Es así que Jorge Lorca, que solo pudo vender en una de las instituciones que tenía pensada, decide seguir realizando gestiones y moviendo sus contactos para captar más interesados.

Entre los interesados en esta segunda ronda están Carabineros y el Ejército de Chile, con el mayor Cristián Barría de contacto de los últimos, que realiza las gestiones con el correo de la Universidad Diego Portales, donde es académico (ver en la nómina). Barría intentó contactar por primera vez a Hacking Team en julio del 2014, pero fue casi una año después que comienzan a tener un contacto fluido, y se ponen en contacto para juntarse.

En un correo fechado el 16 de junio del 2015 se realiza esta gestión por parte de Phillipe Vinci (área de negocios de Hacking Team), además de señalar que “Jorge Lorca de Mipoltec (…) es nuestro partner comercial en Chile”. Se acuerdan en ese correo dos instancias para poder reunirse: la primera el 20 de julio en Colombia, donde Cristían Barría viajaría a dicho país, o en agosto – septiembre en Chile. Se revela además que ya Lorca ha realizado una demostración del Remote Control System Galileo al Ejército durante el 2014. Esto es especialmente relevante, puesto que aun siendo que Barría se había contactado previamente de forma directamente con Hacking Team, de la compañía validaron a Mipoltec como el intermediario necesario para realizar las gestiones.

El 24 de junio, Phillipe Vinci escribe desde Tel Aviv que se podría realizar una semana de reuniones en Santiago y así “matar varios pájaros de un tiro”: con la PDI para mantener las reuniones periódicas, y con Carabineros y con Cristián Barría del Ejército. Esto luego de que Jorge Lorca en una misiva en ese mismo día haya informado a Phillipe que estuvo conversando con el personal de Inteligencia del Ejército, y que le habían informado que para el presupuesto de este año y el próximo “gran parte de sus recursos estarán destinados a Cyber Seguridad y Ataque”.

eje

También se interesó otra división de la Policía de Investigaciones, el DEMTEL, al cual se le hizo una propuesta de presupuesto. De Carabineros, no hay mayor información, más allá de la palabra de Lorca de que existían los contactos y la voluntad de participar en la reunión de demostración del sistema. Asimismo, el mismo Jorge Lorca, el 12 de junio de este mismo año, señaló  a Phillipe Vinci que el propósito de DEMTEL de la Policía de Investigaciones de adquirir el sistema era justamente usar a Galileo “como una herramienta de apoyo para obtener los datos IP de los clientes y acceso a información que no obtendrán a través de una orden judicial” (ver correo).

No queda claro si dichas reuniones se van a realizar, luego del hackeo que recibió la empresa italiana el 5 de julio. De lo último que se señaló fue el 1 de julio, en donde se suponía que Daniel Martínez iba a realizar los viajes necesarios en agosto para mostrar el sistema Galileo a las tres instituciones interesadas. Sin duda, lo más probable, luego de la exposición, que los interesados cambien de parecer y busquen en alguna otra compañía para comprar los servicios que están buscando.

Finalmente, lo que estos correos revelan son varias cosas. En primer lugar el grado de manejo y contactos de un negociador local en seguridad como lo es Jorge Lorca, capaz de haber armado una interesante red de contactos con la PDI, Ejército, Marina, Carabineros y Gendarmería, y convertirse en el intermediario estrella en cuanto a inteligencia digital y seguridad ofensiva se requiere. Más allá de sus traspiés, vemos que Lorca a nombre de Mipoltec siguió operando y armando contactos para importar e implementar tecnología extranjera de espionaje.

Lo segundo, es que si bien estas transacciones pueden estar dentro de las normativas de compras públicas, hay un periodo previo en donde informalmente se ofrecen los productos y se decide si comprarlos o no. En este periodo previo, agentes como Lorca u otros preparan el terreno para hacer la compra posible, y para que cumpla formalmente los aspectos legales e institucionales de la compra.

En tercer lugar, revela el interés creciente de aparatos de las fuerzas policiales y militares del país, de contar con herramientas ofensivas de inteligencia digital, que permitan infiltrarse en dispositivos y obtener información relevante de ellos, lo que claramente tiene como correlato el peligro a la privacidad de los datos y detalles personales de los ciudadanos. Es la constatación de el aumento de la vigilancia en el ámbito digital

En la medida de que más información se vaya procesando y revisando, es que podremos desenredar más elementos de esta madeja que expone el accionar tanto de privados como de agencias gubernamentales en sus políticas de inteligencia y obtención de datos, así como del suculento negocio que circula a su alrededor.