Hacking Team: més vergonyes de l’espionatge digital
Per 40.000 euros vostè pot comprar la llicència d’una aplicació que li permetrà espiar, a distància i de manera centralitzada, les trucades i els xats de Skype, els xats i els accessos a Facebook, els missatges de correu a Gmail i Outlook, les transaccions amb criptomonedes com Bitcoin, capturar arxius, fer fotografies amb la webcam, gravar el so de l’habitació i rastrejar la ubicació de qualsevol ordinador Windows on hagi aconseguir instal·lar un programa ocult i suposadament indetectable, una operació d’allò més senzilla mitjançant l’ús de pàgines web infectades, aplicacions malicioses i tècniques d’enginyeria social. També hi ha versions equivalents per vigilar equips Macintosh, amb sistema Linux i la majoria dels sistemes operatius de smartphone. Això sí: les d’iOS i Windows Phone costen 10.000 euros més. Aquesta perla porta el nom, aparentment inofensiu, de Remote Control System (RCS), i és el producte estrella de l’empresa italiana Hacking Team, protagonista de l’enèsim escàndol de vigilància electrònica que ha sortit a la llum.
Hacking Team, fundada l’any 2003, amb seu a Milà i delegacions als EUA i a Singapur, està especialitzada en programari espia. El seu catàleg de productes és semblant al de la NSA nord-americana que Edward Snowden va filtrar i que Der Spiegel va publicar fa uns mesos, però mentre que aquell era per a ús intern de l’agència d’espionatge, Hacking Team ofereix serveis comercials als governs i els cossos policials de tot el món, inclosos alguns dels estats més corruptes i que figuren a la llista negra de les Nacions Unides. L’activitat de l’empresa era coneguda en els cercles professionals, però ha saltat als titulars perquè algú es va infiltrar fa uns dies en els seus servidors, en va descarregar 400 gigabytes d’informació interna i els ha distribuït públicament mitjançant la xarxa BitTorrent.
Gràcies a l’anàlisi d’aquest material, portat a terme per especialistes voluntaris, hem sabut, per exemple, que Hacking Team no només desenvolupa programari espia, sinó que busca punts febles dels sistemes operatius i aplicacions comercials, i quan els troba no n’informa els creadors perquè els corregeixin —com faria un autèntic hacker—, sinó que ofereix als seus clients actualitzacions que aprofiten la vulnerabilitat com a via d’intrusió. En el seu historial de troballes hi ha forats de Windows que permeten atorgar privilegis d’administrador als usuaris que no en tenen —cosa que incrementa el risc d’espionatge a l’equip—, de les aplicacions Flash d’Adobe i d’alguna distribució del sistema operatiu Linux.
La documentació de Hacking Team que circula per la xarxa conté les factures de l’empresa als clients. Així s’ha pogut calcular que el seu mercat principal és, amb diferència, Mèxic: més de 5,8 milions d’euros. El segueixen Itàlia, amb quatre milions, i el Marroc, amb més de tres milions. Al darrere hi trobem l’Aràbia Saudita, Xile, Hongria, Malàisia, els Emirats Àrabs i fins i tot els EUA: altres documents indiquen que l’FBI és client de Hacking Team. També hi apareix l’estat espanyol, amb unes compres de 538.000 euros, un volum semblant al del Vietnam i l’Equador. Els activistes de Xnet han trobat almenys tres factures emeses per l’empresa amb càrrec al CNI, el Centre Nacional d’Intel·ligència del govern espanyol, per imports superiors als 50.000 euros i en concepte de llicències, manteniment i actualització de RCS per a Android. A més del dubte ingenu sobre si els governs han de fer servir aquesta mena d’eines digitals, Xnet planteja si aquestes compres són ajustades a la legalitat, ja que les quantitats superen el límit de la legislació espanyola sobre contractació del sector públic per a compres sense concurs públic. Joan Tardà, diputat d’ERC al Congrés, ja ha preguntat al govern espanyol per l’afer, i el grup d’Amaiur ha presentat una pregunta semblant per escrit.
Lluny de convertir-se en víctimes
Com que el material sostret pels hackers dels servidors de Hacking Team també inclou còpies dels seus productes, ja hi ha qui està fent servir el programari espia. De fet, l’empresa ha recomanat als seus clients que en suspenguin l’ús i ha avisat públicament del risc que implica que RCS hagi caigut en mans d’usuaris poc escrupolosos, com si els seus clients ho fossin. De fet, malgrat que Hacking Team ara es fa la víctima, no són precisament uns sants barons: la web The Intercept revela que l’empresa va oferir els seus serveis al Batalló d’Acció Ràpida del govern de Bangla Desh, que l’organització Human Rights Now qualifica d’“esquadró de la mort”. Igualment, entre els missatges de correu interns de Hacking Team n’hi ha un d’un empleat que proposa acumular bitcoins per contractar algú que “elimini” Christopher Soghoian, director tecnològic de la Unió Americana de Drets Civils (ACLU) i un dels principals crítics de l’activitat de la firma italiana. El missatge diu: “Un torracollons com aquest no mereix seguir consumint oxigen”.
Per altra banda, tot i la competència tècnica que exhibeix Hacking Team, els seus clients farien bé de posar-la en dubte: altres fitxers revelen que les contrasenyes dels seus sistemes interns són d’un nivell de seguretat molt baix, a l’estil de “Passw0rd” o noms d’animalons. I pitjor encara: RCS conté una porta del darrere que l’empresa ha deixat oberta per actualitzar-lo, però també fa vulnerable a ciberatacs externs l’aplicació i les dades que obté.
Si teniu interès a veure com treballa Hacking Team, podeu consultar aquesta pàgina de Wikileaks, un cercador de més d’un milió de missatges de correu electrònic. M’ha cridat l’atenció un missatge del 12 de març d’aquest any, en el qual un venedor informa els seus caps dels bons resultats obtinguts al congrés Security & Policing celebrat a la població britànica de Farnborough. A més d’atendre una visita de la Guàrdia Civil espanyola —que dubtava entre el producte de Hacking Team i el del rival FinFisher—, també ha fet una “demostració completa” de 45 minuts a representants dels Mossos d’Esquadra. El govern de la Generalitat no confirma ni desmenteix aquest suposat interès de la policia catalana en el programari espia. Però llegir que, segons el venedor de Hacking Team, els Mossos “potser tenen menys diners”, si més no revela fins a quin punt han arribat les retallades.