Ayer saltaba la noticia: HackingTeam, un grupo de expertos en seguridad con sede en Italia, había sido "hackeado". Como consecuencia, un fichero con más de 400 GB de archivos confidenciales había hecho acto de presencia en algunos trackers BitTorent. En algunos de ellos incluso hacen referencia a varios clientes, entre los que se encuentran el CNI o la Policía Nacional en el caso de España. A continuación resumimos todo lo que se sabe hasta el momento.
¿Qué es HackingTeam?
Durante los últimos años hemos vivido muchas intrusiones y ataques informáticos. Uno de los últimos hackeos más sonados fue el de Sony, tras el que se filtraron numerosos documentos confidenciales de Sony Pictures y hasta algunas películas que todavía no se habían estrenado. Ahora hablamos de un nuevo ataque a otra empresa menos conocida, HackingTeam, pero que sin duda traerá cola. ¿Por qué? Por los propios servicios que presta dicha compañía.
Según la página web oficial (ahora caída, pero con una versión de respaldo disponible), HackingTeam ofrece "tecnología efectiva y fácil de utilizar a las autoridades y agencias de inteligencia de todo el mundo". Resumiendo: desarrolla "soluciones de seguridad" que sirven para explotar vulnerabilidades. Fue fundada en 2003 y, de nuevo recalco que según ellos mismos, tienen un equipo de más de 50 profesionales.
En 2013, The Verge publicaba un interesante reportaje sobre los orígenes de la compañía. Según su investigación, en 2001 dos programadores italianos crearon Ettercap, un software capaz de ejecutar ataques man-in-the-middle para hacerse con contraseñas y otra información personal. La policía contactó con ellos pero no para detenerlos: querían usar su tecnología. Unos años después se unía David Vincenzetti (el diario Telegraph publicó un completo perfil sobre él en 2011) y en 2007 llegaba una inyección importante de capital. Wikileaks también tenían documentos sobre ellos.
Espera... me suena este nombre
Es normal que te suene, sí. En 2014 protagonizaron una polémica después de que The Citizen Lab, un blog desarrollado por investigadores de la Universidad de Toronto, publicaran que su software estaba siendo utilizado por Etiopía para espiar a algunos periodistas del Ethiopian Satellite Television Service, una estación conocida por ser muy crítica con el Gobierno local. The Intercept les había culpado de ello unos días antes, aunque desde HackingTeam lo negaron. En marzo de este año, los investigadores alertaban de otro ataque similar con los mismos objetivos.
En una segunda entrega de su investigación, Citizen Lab publicó un completo informe sobre el Remote Control System que HackingTeam vendía a alguno de sus clientes. Según explicaban, con este software se puede "grabar llamadas de Skype, copiar contraseñas, emails, ficheros y mensajes de mensajería instantánea", además de poder "encender la webcam de un teléfono o micrófono". Finalmente, y en la tercera y última parte explicaban cómo utilizaban varios dataceters establecidos en Estados Unidos para dar servicio con sus herramientas a otros países extranjeros.
En su día, y como respuesta a estas acusaciones, desde HackingTeam aseguraron que, antes de ofrecer sus servicios a un cliente, deciden si es apropiado que éste tenga acceso a su tecnología y se reservan el derecho a no comercializar su software a agencias u autoridades que puedan hacer uso de él para "facilitar el abuso de los Derechos Humanos". De hecho, aseguran que si detectan que alguno de sus usuarios está abusando de sus programas, automáticamente le suspenderán.
Pero ¿por qué entonces vendían sus servicios a Etiopía y a otros países donde no se garantizan los Derechos Humanos? De hecho, y desde 2013, HackingTeam figura entre los servicios "Enemigos de Internet" según Reporters Without Borders. Les acusaban, entre otras cosas, de espiar a periodistas en Marruecos y en Emiratos Árabes. Aunque resulte paradójico, el CEO de la empresa bromeaba sobre la que les podría caer encima si se filtrara a Wikileaks cómo funcionaba "la tecnología más malvada del planeta", según sus palabras.
¿Para quién trabajan entonces?
"Ofrecemos nuestro software únicamente a gobiernos o a agencias del gobierno. No vendemos nuestros productos a individuos o a negocios privados". ¿A cuáles en concreto? Es secreto. O bueno, era, porque entre todos los documentos filtrados se encuentran facturas y listas con sus supuestos clientes. Así sabemos, por ejemplo, que el CNI posiblemente usa sus servicios y que la Policía Nacional al menos los usaba (aparecen con contrato "Expirado").
¿El CNI español?
Sí. Entre las facturas filtradas, que publica Eldiario.es, aparece una de Diciembre de 2010 en la que compran un Módulo de Infección Móvil Remota por 17.500 euros. Otra, de noviembre de 2010 habla de un Portal de Zero Day Exploits por 48.000 euros y "módulos con objetivos distintos de Windows" por 24.000 euros. Finalmente, aparece otra de 52.000 euros por una actualización del Remote Control System del que hablábamos antes.
¿Y qué dice el CNI de todo esto? En declaraciones a El Confidencial, su portavoz Sergio Sánchez ya ha aclarado que "no darán ninguna explicación ni detalles del uso de los programas comprados a HackingTeam al menos que los solicite un órgano competente". Según una captura con todos los clientes que publica El Otro Lado del Mal, el CNI lleva desde 2006 comprando software a la empresa y ha pagado 538.000 euros.
No problem there: "Telefonica can do the purchase and take money from Police as monthly fee" #hackingteam
— Sergio Carrasco (@sergiocm) julio 7, 2015
Tampoco está muy claro qué papel podría tener Telefónica en todo esto, si es que tiene alguno. En uno de los correos filtrados aparece mencionada dicha operadora, explicando que puede ser ella quien haga la compra y la que luego cobre una tasa mensual a la Policía. ¿Sugerencia o algo más?
Pero tienen más clientes...
Sí, y de muchos más países: el FBI y el Departamento de Defensa en Estados Unidos, Marruecos, Singapur, México, Ecuador, Colombia, Líbano, Egipto, Chipre, Bahrein, Kazajistán, Rusia, Omán, Nigeria, Brasil, Sudán... Y eso que algunos de la lista no son precisamente conocidos por el cumplimiento de los Derechos Humanos, como presume HackingTeam.
Ah, y también tiene bancos como clientes. ¿Bancos? ¿Pero no vendían sólo a gobiernos según ellos? Exacto, aunque desconocemos qué tipos de servicios han vendido a estas entidades financieras (parece que consultoría y herramientas de defensa).
¿Qué herramientas de espionaje ofrecen?
Antes de la filtración ya conocíamos alguno de sus programas espía estrella. Da Vinci es unas herramientas más conocidas que fue descubierta en 2013 y es capaz de interceptar y monitorizar llamadas, ficheros cifrados, Skype o chat (incluidas apps de mensajería). En los documentos que han publicado los atacantes, la organización también presumen de ser capaces de interceptar tráfico Tor (cosa que Tor ha desmentido).
Los móviles tampoco se salvan. Al parecer, han desarrollado una herramienta para comprometer móviles o tablets con iOS, válida para aquellos dispositivos que tengan jailbreak. Existen módulos también para Android, BlackBerry y Windows Phone. En escritorio, algunas facturas hablan de software para Windows, pero también para Mac y para Linux.
¿De verdad tienen un software para crear pruebas falsas?
En uno de los fragmentos de código filtrados que se recogen en un repositorio GitHub, aparece una línea que hace referencia a la creación de archivos con nombres sospechosos, que hacen referencia a pornografía infantil y a planos de bombas. ¿Es un ejemplo o es un programa real que llegaron a desarrollar? ¿Pertenece a los programas de HackingTeam o alguien lo ha metido a posteriori? No tenemos respuesta.
¿Quién está detrás de su hackeo y cómo lo ha hecho?
gamma and HT down, a few more to go :)
— Phineas Fisher (@GammaGroupPR) July 6, 2015
Todavía se desconoce esta información. Motherboard pudo hablar con él brevemente por mensaje privado cuando todavía poseía el control de la cuenta de Twitter @hackingteam y éste les dijo que era la misma persona que el año pasado había atacado la compañía Gamma International. Ésta es otra de las empresas mundiales que fabrican spyware bajo demanda: su producto más conocido es FinFisher. En la cuenta @GammaGroupPR dice "Gamma y HT fuera, quedan todavía unos pocos :)".
¿Cómo lo hizo? En @GammaGroupPR asegura que lo explicará próximamente "una vez hayan tenido tiempo de fallar y no encontrar qué ha pasado y acaben cerrando el negocio", en referencia a HackingTeam. Al parecer, podrían haber atacado los ordenadores de alguno o de los dos administradores sistemas de la compañía. De nuevo, todo está sin confirmar.
¿Qué han dicho o hecho HackingTeam desde entonces?
Esta es de hecho una de las preguntas más fáciles: no hay respuesta oficial, salvo la confirmación del ataque por parte de un portavoz a Reuters. Su Twitter lleva callado desde entonces (sí que borraron un tweet, que fue el utilizado por los atacantes para distribuir el enlace al material filtrado), al igual que su página web. Uno de sus empleados aseguró en su supuesta cuenta personal que la Policía estaba investigando el ataque y amenazaba con medidas legales a otros usuarios que estaban republicando la información, aunque terminó borrando su cuenta. Desconocemos si era él el que estaba publicando mensajes.
Según Motherboard, que cita a fuentes conocedoras de la investigación, en HackingTeam están en "modo emergencia total" y han pedido a todos sus clientes que desactiven y no utilicen su Remote Control System. Además, dicha persona añade que en la compañía llevan sin tener acceso a sus correos desde el lunes y asegura que los atacantes podrían haberse llevado "todo", hasta 1 TB de información y no únicamente los 400 GB que se han publicado hasta ahora.
En Xataka | Hackers hackeados: 400GB de datos filtrados, el CNI y la Policía Nacional supuestos clientes
Ver 16 comentarios