05 agosto 2015

Una mirada detallada a los correos de Hacking Team y sus represivos clientes por Cora Currier y Morgan Marquis-Boire (The Intercept)

A Detailed Look at Hacking Team’s Emails About Its Repressive Clients 
por Cora Currier y Morgan Marquis-Boire (The Intercept
Una mirada detallada a los correos de Hacking Team y sus represivos clientes
«Documentos obtenidos por hackers del fabricante italiano de spyware Hacking Team confirman que la empresa vende su potente tecnología de vigilancia a países con dudosas trayectorias en materia de derechos humanos.
Correos electrónicos internos y registros financieros muestran que en los últimos cinco años, el software del sistema de control remoto (RCS) de Hacking Team -que puede infectar a distancia el ordenador o el teléfono de un objetivo y robar archivos, leer correos electrónicos, hacer fotografías y grabar conversaciones- se ha vendido a organismos gubernamentales de Etiopía, Bahrein, Egipto, Kazajstán, Marruecos, Rusia, Arabia Saudita, Sudán del Sur, Azerbaiyán y Turquía. Un análisis en profundidad de estos documentos por The Intercept muestra que la dirección de Hacking Team fue, en ocasiones, desdeñosa de cualquier preocupación sobre los derechos humanos y la vida privada; exasperada por la torpeza y la deficiencia técnica de algunos de sus clientes más controvertidos; y explícitamente preocupada por la pérdida de ingresos en caso de desvincularse de este tipo de clientes.

Hacking Team tiene un perfil inusualmente pública para un proveedor de tecnología encubierta, y ha generado críticas debido a que su software malicioso ha aparecido en los equipos de activistas y periodistas. La mayor parte de los países identificados en los archivos filtrados fueron relacionados previamente a Hacking Team por investigadores de derechos humanos que trabajan con expertos en informática forense. La compañía ha negado de manera reiterada cualquier implicación en abusos contra los derechos humanos, remitiendo regularmente a los periodistas a la información sobre política en su sitio web que dice que sólo vende a gobiernos, investiga las denuncias de abusos contra los derechos humanos y cumple con las listas negras internacionales.
Pero la compañía no ha confirmado su lista de clientes, ni ha dado un ejemplo de un caso en el que se desvinculó de un cliente debido a problemas de derechos humanos. 
Unos 400 gigabytes de correos electrónicos y documentos difundidos por hackers la noche del domingo muestran que mientras la empresa se asegura de vender sólo a usuarios gubernamentales, excepto en unos pocos casosse deja determinar a los gobiernos el uso legal de la tecnología.
Los informes señalan los países actualmente sancionados, así como un resumen de las preocupaciones de los grupos internacionales de derechos humanos - "lo que no implica una valoración jurídica de nuestra parte"- respecto a muchos de los clientes de Hacking Team.
Ocasionalemente, la empresa solicita una revisión específica -en 2013, por ejemplo, pidió a Bird & Bird revisar Bahrein, que ha sido criticado constantemente por delitos contra los derechos humanos desde que en 2011 empezaron allí protestas pro-democracia. El informe concluyó que no se podía fijar restricciones en virtud de la legislación italiana o internacional que limitara las exportaciones de RCS a Bahein. Sin embargo, se observaba que grupos de derechos humanos y la Unión Europea habían en múltiples ocasiones, observado "políticas y acciones que violaban los derechos humanos y, en particular, violaban la libertad de expresión y asociación." 
Ver "oportunidad" donde otros ven represión 
Investigaciones previas identificaron a Bahrein como usuario de software fabricado por uno de los principales competidores de Hacking Team, FinFisher, para perseguir a activistas de la primavera árabe. Cuando esas acusaciones surgieron en 2012 y FinFisher estuvo en el punto de mira, el administrador de la cuenta de Hacking Team envió un enlace con una cara sonriente: "hay un rumor,  hay una oportunidad en Bahrein..." De hecho, el Ministerio de Defensa de Bahrein compró RCS en 2013, y se mantuvo como cliente en el año 2015. la compañía también parece haber estado en conversaciones con la agencia de inteligencia del país, en colaboración con otro proveedor de tecnología de vigilancia, la compañía estadounidense-israelí Niza Systems. 
Los correos electrónicos y los informes confirman que la empresa evita la venta a países bajo sanción, pero siempre está evaluando posibilidades. En un correo electrónico de mayo, el director ejecutivo y co-fundador David Vincenzetti escribe de un posible acuerdo en Libia: "Soy escéptico, es un estado fallido, podemos solicitar autorización pero realmente no sabemos si se trata de un país en la lista negra." 
Siria, señala en otro correo electrónico, es un lugar con el que Hacking Team debería romper su costumbre de no comentar sobre la clientela. "Siria es el ejemplo público más vicioso, visible y conocido por el público de un dictador cometiendo prolongada carnicería sin fin utilizando herramientas innobles", comentó Vincenzetti. Sin embargo, los correos electrónicos muestran que en el 2011, antes de que comenzara el levantamiento contra Bashar Al-Assad, la empresa seguía intentando hacer negocios allí. 
"Un sirio de Latakia me llamó por teléfono y le expliqué un poco nuestro producto", escribió Mostapha Maana, administrador de la cuenta de Hacking Team para el Medio Oriente, en italiano en abril de 2011. "Me dijo que la situación en Siria es tranquila y me aconsejó ir a verle esta semana. Dijo que el producto podría ser muy interesante sobre todo después del desastre que ha sucedido últimamente". 
La principal preocupación de la empresa cuando aparecen problemas de derechos humanos en la prensa es tranquilizar a los otros que la eficacia de la tecnología no se ha visto afectada por la exposición. Hacking Team, en general, parece considerar que el marco legar para el uso de los productos es responsabilidad del cliente gubernamental. Un ejecutivo señaló que un discurso sobre temas legales sentaría bien en "Washington o en Praga, pero no creo que a los clientes árabes les preocupen las cuestiones jurídicas derivadas de usar nuestro producto." 
En una lista de correo que Vincenzetti mantiene -comentando asuntos de política exterior y compartiendo generalmente puntos de vista de derecha y de línea dura sobre Rusia, China y noticias de tecnología- que se refiere a los defensores de la privacidad como la "línea dura ideológica."
En un correo electrónico a los colegas repondiendo a una noticia de Slate del año pasado sobre software espía, Vincenzetti lamentaba que "el tema de 'proteger la privacidad a cualquier precio' es de alguna manera dominante en la actualidad". 
Para "activistas que trabajan para organizaciones sin fines de lucro... dirigir sus esfuerzos hacia empresas de tecnología pequeñas, posiblemente extranjeras es fácil; dirigir sus esfuerzos hacia las agencias locales es difícil y arriesgado", escribió. "Tengo una pregunta para todos ustedes: Por favor, nombren un solo país muy 'democrático', un país que no viole los derechos de nadie y tiene un historial totalmente limpio en materia de derechos humanos." 
Los correos electrónicos detallan la respuesta de la empresa a algunas denuncias de alto perfil de irregularidades, algunas de las cuales se presentan a continuación. 
Turquía: Todas las opciones sobre la mesa, hasta que dejaron de estarlo
En el verano de 2013, Wired informó de que un ciudadano estadounidense había sido blanco de un ataque de lo que parecía ser el software de Hacking Team vinculado a Turquía. En ese momento, el portavoz estadounidense de Hacking Team, Eric Rabe se negó a comentar nada sobre la relación de la empresa con las autoridades turcas, pero en un correo electrónico interno, los ejecutivos de la compañía discuten sobre la reunión con las autoridades turcas en una feria comercial para tratar las acusaciones.  
"El resultado: ninguna cooperación en absoluto. Niegan categóricamente cualquier implicación en el caso. Le dije a nuestra gente que insistieran y les explicar que tales exposiciones en los medios no son beneficiosas para nadie ", escribió Vincenzetti. "Todas las opciones están sobre la mesa, es decir, podríamos decidir dejar de apoyarlos."
Vincenzetti no especifica qué agencia es el cliente, pero el cliente en Turquía en los registros de Hacking Team para ese año es la Policía Nacional de Turquía. (Correos electrónicos internos también muestran que "Kamel Abed", cuyo nombre había aparecido en varias apariciones de malware, era de hecho un nombre inventado por Hacking Team.)
Otro correo electrónico discute planes para reunirse con el cliente en Milán y discutir el incidente. Sea cual fuera lo ocurrido en esa reunión, la Policía Nacional de Turquía siguió siendo un cliente de Hacking Team ese año. 
Etiopía: "700k es una suma relevante"
El año pasado, investigadores del Citizen Lab de la Universidad de Toronto identificaron rastros de  spyware de Hacking Team en los equipos de periodistas etíopes que viven en el norte de Virginia. El Gobierno de Etiopía está clasificado como uno de los peores de África en lo que respecta a la libertad de prensa, y regularmente aplica a periodistas las leyes antiterroristas. 
Los investigadores creyeron que los periodistas, que trabajaban para la televisión por satélite de Etiopía (ESAT) -una cadena dirigida en gran parte por los expatriados y considerada como próxima a los partidos de oposición- habían sido atacados por la Agencia de Seguridad de Información de Redes de Etiopía, o INSA. (Entre los investigadores Citizen Lab estaba Morgan Marquis-Boire, director de seguridad de First Look Media y co-autor de este artículo.) En ese momento, el portavoz del gobierno etíope en Washington negó el uso de productos de Hacking Team, diciéndole al Washington Post que Etiopía "no usa y no tiene razón alguna para usar ningún software espía u otros productos proporcionados por Hacking Team o cualquier otro proveedor dentro o fuera de Etiopía".
Poco después, en marzo pasado, Citizen Lab publicó nuevamente pruebas del malware de Hacking Team, esta vez en un archivo adjunto a un correo electrónico enviado a Neamin Zeleke, director general de ESAT. El portavoz de Etiopía dijo que el departamento "actúa de acuerdo con sus propias leyes y con las leyes de las naciones."
Hacking Team se negó a confirmar quienes eran sus clientes, pero reiteró que la compañía investigaba las presuntas violaciones de los derechos humanos. Sin embargo, Rabe dijo al Washington Post: "Puede ser muy difícil determinar los hechos, sobre todo porque no manejamos los sistemas de vigilancia sobre el terreno para nuestros clientes." 
Los correos electrónicos y los registros internos muestran claramente que el incidente desató un debate dentro de la empresa acerca de si la mala prensa y la exposición potencial de la tecnología de Hacking Team había valido la pena.
"[Citizen Lab] encontró la fuente del ataque debido a que estos genios utilizan la misma dirección de correo electrónico que habían utilizado en el ataque anterior para enviar el documento con el programa de explotación," el principal autor técnico escribió en italiano, en referencia a los clientes etíopes. Vincenzetti les ordenó suspender temporalmente la cuenta. 
Pero la investigación de seguimiento parece haber consistido en un escueto correo electrónico a su contacto en INSA diciendo: "¿Podría por favor dar una explicación detallada a las siguientes alegaciones?", Con enlaces a los informes.
El representante del INSA respondió que Zeleke había sido atacado como miembro de Ginbot7, un partido político de oposición que el gobierno etíope declaró un grupo terrorista en 2011. "Para nosotros, Nemene Zeleke es uno de los principales líderes de una organización terrorista, no un periodista" escribió el agente de INSA.
Hacking Team parecía aplacado, pero aún irritado. El Director de Operaciones Giancarlo Russo escribió a otros ejecutivos que "parece que desde el punto de vista jurídico cumplen con su propia ley". 
Rabe, por su parte, sostuvo que "el problema es el uso incompetente de herramientas de HT. Pueden discutir sobre si su objetivo era un objetivo justificado o no, pero su uso de la herramienta varias veces desde la misma dirección de correo electrónico, y su ataque y su incapacidad de obtener acceso es lo que causó la exposición de nuestra tecnología. "(De hecho, mensajes de correo electrónico al sistema de apoyo de Hacking Team muestran las quejas de clientes por la fuga.) 
"Pero sé que 700k es una suma relevante", añade en italiano en otro correo electrónico. 
Los ejecutivos finalmente decidieron restablecer la licencia de Etiopía. En mayo, después de idas y venidas de unas semanas, la empresa propuso un nuevo contrato con más entrenamiento y supervisión sobre el terreno de  -"servicios adicionales" que un ejecutivo de desarrollo empresarial señaló podrían añadir cientos de miles de euros a la la factura del país. 
Marruecos: Un aliado de seguridad nacional
Hacking Team apareció en la prensa internacional en 2012, cuando se utilizó un documento falso para implantar malware en los ordenadores de los periodistas que criticaban al gobierno de Marruecos, que en ese momento se enfrentaba a protestas inspiradas por la primavera árabe. Los activistas e investigadores han sospechado durante mucho tiempo que el malware se originó en Hacking Team y han seguido trabajando para vincular el ataque al sistema de control remoto. Sólo este mes, los investigadores rastrearon el malware a las direcciones IP asociadas con el Consejo Superior de la Defensa Nacional, o CSDN, descrito como un consejo que reúne diversas agencias de seguridad de Marruecos. (Marqués-Boire estuvo involucrado en la investigación.) 
Como de costumbre, de Hacking Team declinó públicamente dar el nombre de sus clientes. El gobierno marroquí ha protestado públicamente por las acusaciones de espionaje, llegando inclus oa presentar una demanda esta primavera contra los activistas que prepararon un informe relatando experiencias de primera mano de los periodistas y activistas que habían sido atacados. 
Mensajes de correo electrónico de la compañía y documentos empresariales muestran que Hacking Team de hecho ha estado haciendo negocios con el gobierno marroquí por lo menos desde 2010, y todavía lo hace, utilizando una compañía llamada Al Fahad Smart Systems, con sede en los Emiratos Árabes Unidos, como intermediario. Las facturas contienen referencias al CSDN así como a la Direction Générale de la Surveillance du Territoire, o DST. En abril de este año, la compañía estaba ofreciendo sus servicios a la Gendarmería Real marroquí.
Aparentemente no hay ningún registro de que la compañía preguntara a sus clientes marroquíes sobre el ataque a periodistas o a la oposición. Cuando la historia de los periodistas marroquíes apareció por primera vez en 2012, los correos electrónicos internos entre los ejecutivos destacaron que los artículos mostraban definitivamente que se tratara del malware de Hacking Team. 
Marruecos sigue siendo un cliente importante. Vincenzetti envió un artículo del Financial Times titulado "Espectro de ISIS se utiliza para erosionar los derechos en Marruecos", con el comentario: "En realidad no." 
"El rey de Marruecos es un monarca benevolente," escribió Vincenzetti en el correo electrónico a algunos colegas. "Marruecos es en realidad el país árabe más pro-occidental, las iniciativas de seguridad nacional son únicamente necesarias con el fin de reforzar la estabilidad." 
Prohibición italiana de exportaciones  
El otoño pasado, el gobierno italiano bruscamente congeló todas las exportaciones de Hacking Team, citando preocupaciones en materia de derechos humanos. Después del cabildeo con funcionarios italianos, la compañía finalmente recuperó el derecho de vender sus productos en el exterior. Pero los correos electrónicos relacionados con el incidente muestran la reputación de la empresa relacionada con las ventas a lugares imprecisos ha perjudicado su negocio, incluso antes de esta última filtración.
El documento, del Ministerio de Desarrollo Económico, no especifica una fuente o países específicos, pero establece que el ministerio tenía información acerca de "posibles usos" de Hacking Team "en relación con la represión interna y violaciones de los derechos humanos". Como resultado, se aplica una  provisión "cajón de sastre" de una ley de exportación para bloquear los productos de Hacking Team. 
Hacking Team desplegó rápidamente todas sus conexiones con altos funcionarios del gobierno -clientela italiana, según muestran los registros internos, incluidos los Carabinierila policía militar, y la oficina del primer ministro- para cabildear en contra de la orden. Tratando de presionar a los inversores y financiadores, entre ellos el gobierno regional de Milán.
La parada de las exportaciones podría destruir rápidamente la compañíaadvirtió Vincenzetti, el director ejecutivo, en un correo electrónico a Russo, el director de operaciones. "Tenemos alrededor de dos millones de dólares en fondos, 'quemamos' alrededor de 500k un mes. Necesitamos el dinero para la liquidación, no la quiebra." Los clientes podrían presentar una demanda por incumplimiento de contrato, y como el principal accionista individual, con alrededor del 32 por ciento de la empresa, sus bienes personales estarían en juego, escribióVincenzetti. 
La compañía escribió dos cartas que Vincenzetti envió a de contactos influyentes, "una versión más educada, y una un poco más 'visceral'", como las describió uno de los empleados.
"Siempre he servido al país con determinación y perseveranciay estoy seguro de que mi empresa podría ser llamada una flor en el ojal de Italia", escribió Vincenzetti. "Yo nunca esperaría que nuestro trabajo podría ser considerado sospechoso de alguna manera; Nunca hubiera creído que tendría que explicar a los 40 empleados -que todos los días se esfuerzan más para mejorar nuestro software, orgullosos de poder contribuir en la medida de sus pequeñas posibilidades a la lucha contra la delincuencia- que ese mismo país considera sus esfuerzos, en sumahumildes instrumentos de potencial peligro para el país."
Los correos detallan reuniones con los altos oficiales militares, que mediaron con el Ministerio de Desarrollo Económico. La compañía pronto se regularía bajo nuevas normas de la Unión Europea para el Arrego de Wassenaar, un marco de control de las exportación internacionales que etiqueta software de intrusión como el de Hacking Team como un producto "de doble uso", o uno que se pueden usar tanto con fines militares y civiles. En diciembre, la orden fue revocada, y las negociaciones dieron a Hacking Team de una "licencia global" única para las exportaciones a los países que habían firmado el Arreglo, en lugar de las aprobaciones de acuerdo caso a caso que las autoridades italianas propusieron originalmente. 
En el calor de las negociaciones, Vincenzetti arremetió contra los burócratas, activistas y otros en misivas emocionales a los ejecutivos y confidentes. 
"Los que están destruyendo nuestra compañía son medio hombre, son cobardes, son ciegos, que ni siquiera viven una vida real", escribió. Sugirió incluso que la mafia podría estar detrás de las acciones del gobierno italiano. Pero, dijo, "van a tener que matarme físicamente para detenerme."