Por Amarela | #Boletín11

Hacking Team es una empresa italiana de tecnología conocida por desarrollar y vender herramientas de vigilancia a gobiernos, ayudando a las instituciones policiales a interceptar dispositivos móviles y espiar a ciudadanos y ciudadanas de todo el mundo. Fundada en 2003, la empresa afirma que sus sistemas «están diseñados para combatir el crimen y el terrorismo«. Sin embargo, el último domingo 5 de julio, una gran filtración de 400 GB de documentos reveló nuevos detalles sobre las actividades de la empresa y comprobó lo que los investigadores, investigadoras, activistas de derechos digitales y expertos en información ya venían señalando e investigando.

Hacking Team comenzó a atraer la atención de la comunidad de privacidad y seguridad en el 2011, cuando Wikileaks publicó documentos que describen el funcionamiento de los programas (spyware) que la empresa ofrecía a las agencias gubernamentales en 2008. En 2012, HT volvió a llamar la atención cuando una de su herramientas, el spyware llamado RCS (Remote Control System) fue utilizado contra un popular grupo de medios ciudadanos de Marruecos y contra Ahmed Mansoor, un activista de derechos humanos que vive en los Emiratos Árabes Unidos (EAU). A partir de esas pistas, en 2013 la organización Reporteros sin Fronteras declaró a Hacking Team como una empresa enemiga de Internet, junto con otras cuatro organizaciones,  Gamma Group, Trovicor, Amesys y Blue Coat Systems, por haber decidido vender sus productos a regímenes autoritarios.

Pero fue en el año 2014, con la filtración realizada por The Intercepty el informe publicado por The Citizen Lab, que se dio a conocer información más completa y exacta acerca de la empresa y sus herramientas. El informe enumeró 21 países con los que la empresa negoció, entre ellos varios regímenes represivos o conocidos por violaciones a los derechos humanos, como Azerbaiyán, Egipto, Etiopía, Arabia Saudita y Sudán, además de países de América Latina y el Caribe, como Colombia, México y Panamá. La investigación de Citizen Lab también reveló cómo los gobiernos utilizaban spyware RCS y brechas de seguridad en programas de software.

Hacking Team hizo varias declaraciones acerca de la ética con la que conduce sus negocios, especialmente con respecto al análisis de los clientes y el impacto de sus productos en el ámbito de los derechos humanos. La empresa llegó a afirmar que no vende sus herramientas a «agentes independientes«; que todas sus ventas son revisadas por un grupo de ingenieros y abogados que tiene poder de veto y que toma en cuenta informes sobre la posibilidad de que sus clientes usen las herramientas para violar los derechos humanos. Sin embargo, el informe parece llegar a otras conclusiones: hay numerosos indicios del uso de herramientas de la empresa para adquirir ventajas políticas y espiar a grupos de medios y activistas; existen indicios de que la empresa trata con regímenes represivos y autoritarios; y, en relación con el consejo externo que orienta las ventas, la empresa no es transparente y hay poca información disponible sobre sus miembros y sus procesos.

Hacked Team

En lo que se refiere a la filtración de información de esta semana, todavía no está claro quién sería la persona o grupo responsable, pero el perfil de twitter Phineas Fisher  parece haber reivindicado la acción. Es la misma persona responsable por la filtración de 40 GB de documentos del Gamma Group el año pasado.

gamma and HT down, a few more to go 🙂

— Phineas Fisher (@GammaGroupPR) July 6, 2015

Los 400 GB de Hacking Team contienen varios e-mails, documentos administrativos, listas de clientes y códigos fuente de herramientas, y todavía deben ser analizados cuidadosamente. Sin embargo, parecen legitimar gran parte de las investigaciones y las conclusiones obtenidas por Citizen Lab. Además, muestran que la lista de clientes de la empresa es aún mayor y que, de hecho, vendió spyware a Sudán (como lo indica una factura), violando el embargo de las Naciones Unidas referente a la venta de armas a ese país. Como Sudán también fue clasificado como un estado patrocinador de terrorismo entre 2012 y 2014, también existe la posibilidad de que HT haya violado la prohibición estadounidense de dar apoyo material al terrorismo, como señala EFF.

América Latina

De acuerdo con uno de los documentos divulgados, México aparece como uno de los principales clientes de la empresa, seguido de Italia, Marruecos, Arabia Saudita y Chile, que ocupan los otros cuatro primeros lugares. El país pagó más de USD 6,3 millones y varios estados mexicanos contrataron los servicios de HT, como Querétaro, Puebla, Campeche, Yucatán, Durango, Jalisco, Tamaulipas y el Estado de México. El Ministerio del Interior mexicano fue el cliente más recurrente. El Ministro del Interior negó que el actual gobierno mexicano haya comprado software de espionaje. Sin embargo, entre los documentos filtrados consta un registro de compra de abril por USD 224.000, hecha por el CISEN (Centro de Investigación y Seguridad Nacional), órgano del servicio de inteligencia civil del Estado. También existe la sospecha de que algunos estados puedan haber comprado herramientas al grupo italiano de forma ilegal.

Un artículo de The Intercept revela que, en un e-mail de 2011, un oficial de la DEA (Drug Enforcement Administration) le dice a un empleado de Hacking Team que su pedido de presupuesto para la adquisición de RCS fue negado por considerar el sistema «muy controvertido», pero que estaría trabajando en el «foreign angle» (perspectiva del extranjero). En otro e-mail, un empleado de la empresa afirma:  «En relación con la perspectiva del extranjero, creo que Katie [DEA] se refiere al hecho de que ellos, como la DEA, podrían comprar el RCS para otros países (Colombia), donde es menos problemático utilizarlo». También según The Intercept, la compra se concretó en el 2012 y la herramienta parece haber sido usada, principalmente, en conjunto con las autoridades colombianas. Robotec, una empresa que gestiona diversas ventas de Hacking Team en América Latina, también menciona clientes en Colombia, financiados por la DEA. Explorando los documentos, también se puede encontrar este e-mail que comprueba que se realizaron instalaciones de RCS en Colombia y Ecuador.

Otro e-mail revelador es el enviado por un empleado de Hacking Team, Eduardo Pardo, quien actúa a nivel local en América Latina. Pardo comenta, el 9 de junio de 2015, que una herramienta recién adquirida por la DEA recibirá todo el tráfico de los proveedores de servicios de internet de Colombia («will receive all the traffic for Colombian’s ISPs»). El e-mail también sugiere que la DEA ya tiene y utiliza la herramienta RCS de HT en la embajada estadounidense en Bogotá.

Very interesting Hacking Team email on US DEA using spy tech "that will receive all the traffic for Columbian ISPs": pic.twitter.com/HBJG70Ymaj

— Ryan Gallagher (@rj_gallagher) July 6, 2015

Pocos días después de la filtración, varios grupos de la sociedad civil de América Latina se posicionaron y redactaron una nota en la que piden mayor control sobre las tecnologías de vigilancia y rechazan la libre compra y venta de este tipo de herramientas, ya que ponen en situación de riesgo a los derechos humanos en la región. Según la nota, seis países de América Latina serían clientes de HT: Chile, Colombia, Ecuador, Honduras, México y Panamá, y organismos como la Policía de Investigaciones de Chile (PDI), la Secretaría de Inteligencia de Ecuador (SENAIN), la Dirección de Inteligencia Policial de Colombia (DIPOL) y el Centro de Investigación y Seguridad Nacional de México (CISEN), habrían adquirido licencias del software RCS.

13 organizaciones firman la nota:: Artículo 19 (México y Centroamérica), ACI-Participa (Honduras), Contingente MX (México), Derechos Digitales (América Latina), Enjambre Digital (México), Electronic Frontier Foundation, RedPato2 (Colombia), R3D Red en Defensa de los Derechos Digitales (México), Fundación Karisma (Colombia), Hiperderecho (Perú), Asociación por los Derechos Civiles (Argentina) y Fundación para la Libertad de Prensa (Colombia).

Brasil

A pesar de no figurar en la nota redactada por los grupos de la sociedad civil de América Latina, y del hecho de que podría pasar desapercibido a primera vista, en el archivo divulgado hay documentos que comprueban que Brasil también contrató los servicios de Hacking Team. Se trata de varios e-mails intercambiados entre personal de HT, empleados de una empresa brasileña llaman YasNiTech y un agente de la Policía Federal brasileña. Entre los documentos también consta una factura en nombre de YasNiTech. No es posible afirmar con exactitud cuál es el papel de YasNiTech en la negociación entre el gobierno brasileño y la empresa italiana, pero un e-mail enviado por el director técnico de YasNiTech, Luca Gabrielli, con varias quejas sobre la actuación de HT en el país, parece indicar que las empresas son socias en la negociación con la Policía Federal.

De todos modos, lo que queda bastante claro es que la Policía Federal de Brasil ya tiene la herramienta RCS, y que, probablemente, la utiliza. En uno de los e-mails, cuyo título es «RCS», Eduardo Pardo, ingeniero de Hacking Team, proporciona instrucciones de uso a un agente de la Policía Federal. En el correo electrónico también se copia a Toni Meneses, empleado de YasNiTech.

En otro e-mail, el equipo de Hacking Team conversa sobre orientaciones que deben proporcionarse a la Policía Federal para que hagan un buen uso de la herramienta. Además, el empleado de HT dice que la Policía Federal obtuvo autorización judicial para utilizar la herramienta durante 15 días en 17 teléfonos objetivo, entre dispositivos con Android y BlackBerrys.

El archivo divulgado es extenso y es posible que un análisis más detallado revele más información sobre los negocios de Hacking Team en Brasil y sobre cómo el gobierno y las autoridades brasileñas vienen utilizando tecnologías de vigilancia digital. El Taller Antivigilancia está abierto a colaboraciones para quienes quieran contribuir con la publicación de información sobre Brasil.

Hay varias formas de acceder a los 400 GB de documentos que se filtraron: pueden bajarse en un único archivo, a través de torrent (magnetic link via Partido Pirata); también se puede elegir qué archivo o carpeta se desea descargar en el sitio web de Transparency Toolkit; o simplemente se puede navegar por los e-mails en la plataforma de Wikileaks.