Hacking Team vio el pasado 6 de julio cómo su lista confidencial de clientes se compartía de un lado al otro del globo a través de internet. La empresa italiana "ofrece tecnología ofensiva para la policía y los servicios de inteligencia" y asegura que solo trabaja para Gobiernos que no aparezcan en las listas negras de Estados Unidos, la OTAN y la Unión Europea. El problema es que los 400 gigas difundidos parecen mostrar lo contrario. No solo han estado creando programas y aplicaciones para colarse en ordenadores y móviles de países como España, México o Colombia, también han vendido sus troyanos a Arabia Saudí, Etiopía y Rusia, lugares donde el respeto a los derechos humanos está cuestionado.
Por el momento se desconoce quiénes son los hackers que han atacado a los hackers. Tampoco se ha podido comprobar si la lista de clientes y servicios prestados es cierta porque solo algunos países implicados se han limitado a confirmar su relación laboral con Hacking Team, sin precisar detalles. La empresa tampoco confirma la información filtrada. A la espera de que se conozcan más detalles, estas son las claves de este nuevo caso de espionaje.
- ¿Quiénes son estos italianos que ayudan a los gobiernos a espiar?
Hacking Team crea desde 2003 aplicaciones para infiltrarse en ordenadores o teléfonos móviles para recabar correos, conversaciones de Skype, contraseñas, localizar a un usuario por tecnología GPS o activar a distancia el micrófono o la cámara. Esta tecnología solo se la ofrecen a gobiernos, no venden a particulares ni a empresas, según uno de sus portavoces explicó en una entrevista en El País. "Ofrecemos tecnología ofensiva y fácil de usar para la policía y los servicios de inteligencia de forma individual". No revelan el precio, pero aseguran tener una facturación de 10 millones de euros.
El programa estrella del que los portavoces de la empresa se jactan es el sistema de control remoto (Remote Control System o RCS), un paquete que permite a quien lo maneja infiltrarse en dispositivos para controlar todo tipo comunicaciones. Sus aplicaciones tienen capacidad para rastrear cientos e, incluso, miles de ordenadores. Sin embargo, se utilizan para casos concretos. No se crearon para rastrear a toda una población, aseguran.
"La mayoría de nuestros trabajadores son ingenieros informáticos y programadores con conocimientos de hacking", explican representantes de la empresa sin precisar quiénes son o de donde provienen.
- ¿Qué se ha filtrado?
El pasado 6 de julio aparecieron 400 gigas de información con las operaciones de espionaje que distintos gobiernos habían llevado a cabo gracias a las aplicaciones de Hacking Team. La lista, sin censurar, apareció en el propio perfil de la compañía en Twitter con el mensaje: "Al no tener nada que esconder, estamos publicando todos nuestros correos electrónicos, archivos y código fuente". De la cuenta y los tuits que los hackers enviaron no queda ni rastro. La información que suministraron, por el contrario, se ha recogido en varias webs.
La web Pastebin la reproduce íntegra, y Wikileaks ha creado un buscador dentro de su web para rastrear la ingente cantidad de datos por clientes. En Twitter, distintos usuarios comparten la información que afecta a sus países. Según datos de Topsy, se han lanzado más de 65.000 tuits con el hashtag #HackingTeam.
- ¿Es ilegal el trabajo de Hacking Team?
Crear software para infiltrarse en dispositivos móviles no es ilegal. Su uso por administraciones públicas depende de la legislación vigente en cada país. En el caso de España, la reforma de la Ley de Enjuiciamiento Criminal habilitará el uso de estas herramientas de forma expresa por parte de las fuerzas de seguridad del Estado, siempre mediante orden judicial. Por el momento su uso no está regulado por la ley, según se explica en El Español. Además, la intervención de las comunicaciones debe ser autorizada por el juez dado que afecta al derecho fundamental del secreto de las comunicaciones recogido en el artículo 18.3 de la Constitución.
En Estados Unidos, otro de los países que aparece en los documentos, este tipo de herramientas son legales, de hecho, como narró la web The Verge en 2013, cuando realizó una investigación sobre esta empresa italiana, el propio FBI desarrolla sus propias aplicaciones de espionaje.
- Si en España aún no está regulado, ¿por qué el CNI pudo contratar sus servicios?
El Centro Nacional de Inteligencia (CNI) contrata al menos desde 2010 los servicios de esta empresa, según se desprende de la filtración. Uno de sus portavoces aseguró a Eldiario.es que se trata de contratos firmados de acuerdo con la Ley de Contratos del Sector Público y que pueden ser explicados ante los órganos de control del gasto público, como el Tribunal de Cuentas. Los fondos empleados, añadió, son parte del presupuesto del centro para inversión y no salen de los fondos reservados, sin dar más detalles de cómo y para qué se usaron.
Entre las facturas que se han desvelado aparecen cargos por mantenimiento de herramientas como la famosa RCS y sus módulos de adaptación a diferentes sistemas operativos. Se trata de contratos de entre 17.500 y 72.000 euros.
- ¿Por qué Hacking Team no da explicaciones?
Desde que se filtrara la información, los responsables de la empresa no han querido hacer declaraciones pese a la insistencia de medios de todo el mundo. No se sabe con certeza, por tanto, si los datos que circulan por la red son reales al no haber sido contrastados por el momento. Aunque las sospechas de que la compañía colabora con particulares y países en las listas negras de Estados Unidos, la OTAN y la Unión Europea circulan desde hace años como publicó The Verge y The Intercept.
En 2013, Reporteros Sin Fronteras consideró a Hacking Company "corporación enemiga de internet" y los calificó de "mercenarios digitales". Ya entonces, ese supuesto código ético de la empresa en cuanto a sus relaciones comerciales se puso en duda. Dos años después, los primeros tuits que los hackers lanzaron al apoderarse del perfil en Twitter apuntaban en la misma dirección: negociaciones para exportar a Nigeria malware a través de intermediarios, debates internos para decidir qué hacer después de que una investigación de la Universidad de Toronto les acusara de vender estas aplicaciones a Etiopía,... Entre los posibles clientes están también Azerbayán, Sudán y Rusia, además de una compañía brasileña, YasNiTech, interesada en espiar teléfonos móviles.