Han sido unos días bastante movidos en las oficinas de Hacking Team, la empresa de seguridad italiana atacada la semana pasada, publicándose multitud de datos confidenciales. Hemos querido contactar con ellos para conocer su punto de vista sobre el tema.
La semana pasada la empresa de seguridad italiana, Hacking Team, saltó a la primera plana de las noticias por haber sufrido un hackeo masivo, con más de 400 GB de emails, contraseñas y datos privados de contratos circulando por Internet. Ya teníamos tema de conversación para toda la semana y titulares del tipo hacker hackeado o cazador cazado no tardaron en encabezar los artículos de muchos medios.
Desde las primeras horas de la filtración, miles de personas comenzaron a analizar los datos revelados, sacando conclusiones de todo tipo y desvelando algunos de los secretos mejor guardados de Hacking Team: listas de países con los que la empresa tenía tratos, las contraseñas que usaban algunos de sus empleados, el precio pagado por España para usar sus servicios, etc.
Ya hemos podido ver lo que piensa Internet en general sobre los últimos sucesos en torno aHacking Team, pero hemos querido conocer de primera mano la opinión de la que es la primera víctima, aunque poco reconocida, en toda esta historia.
Para ello nos hemos puesto en contacto con Eric Rabe, Director de Comunicaciones y Marketing de Hacking Team, y antiguo vicepresidente de Verizon, con más de 25 años de experiencia en el sector de las relaciones públicas y que se define a sí mismo como una persona con excelentes habilidades para la gestión de crisis.
Es de suponer que habrá tenido que sacar a relucir todas esas habilidades porque parece que hay crisis y de las gordas. Aun así ha tenido el tiempo y la amabilidad de contestar a nuestras preguntas, aunque no todas, e informarnos de la situación actual en Hacking Team.
Charla con Eric Rabe, Director de Comunicaciones de Hacking Team
¿Cómo nace Hacking Team? ¿Cómo comenzáis a operar en el sector del espionaje, relacionándoos con gobiernos y agencias del orden público de medio mundo?
La compañía fue fundada por dos personas (los programadores italianos Alberto Ornaghi y Marco Valleri) que tenían amplia experiencia en el mundillo de la seguridad informática. Se dieron cuenta de que a medida de que la tecnología proporcionaba a los usuarios conexiones cada vez más seguras, los gobiernos y policías del mundo estabanperdiendo la capacidad de seguir las actividades online de criminales y terroristas. Por ello comenzaron a desarrollar un paquete de seguridad y vigilancia llamada Remote Control System a comienzos de este siglo, justamente para solventar esa necesidad.
El Remote Control System o Sistema de Control Remoto al que hace referencia Eric es el que Hacking Team comercializa como Galileo RCS, anteriormente también conocido como Da Vinci RCS.
Remote Control System: el paquete de hackeo para interceptación gubernamental. En la punta de tus dedos.
El siguiente vídeo muestra como Hacking Team anuncia su sistema de espionaje para gobiernos. Un sistema que, según sus creadores, sirve para vigilar tanto teléfonos Android como ordenadores Windows, que funciona de manera invisible para el usuario y que es capaz de saltarse antivirus y cortafuegos, sin afectar para nada la autonomía del dispositivo en el que se ha instalado.
¿Cómo es posible que una empresa como Hacking Team pueda haber sido hackeada? Se supone que sois los verdaderos expertos y los que más sabéis en este campo. ¿Tenéis alguna idea o indicio de cómo se ha producido o aún estáis investigando el tema?
Hay multitud de ejemplos de empresas e incluso agencias gubernamentales con recursos para medidas defensivas mucho mayores que Hacking Team que han sido víctimas de ataques, perdiendo millones de cuentas y un sinfín de datos. La cuestión importante es que, hoy en día, cualquier criminal que se lo proponga, con el suficiente tiempo y las habilidades informáticas apropiadas, finalmente podría lograr colarse en prácticamente cualquier sistema online, y muy posiblemente en sistemas que no estén conectadas a la red.
¿El futuro de Hacking Team se verá afectado por este ataque? ¿Esperáis que todo el tema pase al olvido y podáis volver a la normalidad en breve? ¿O será este el final de Hacking Team tal y como lo conocemos? ¿Estás preocupados por posibles sanciones o multas por culpa de la información filtrada?
La verdad es que no esperamos que el tema se disperse como si nada y somos conscientes de que recuperarse de este ataque requerirá de mucho trabajo y esfuerzo. No estamos preocupados por posibles sanciones, siempre hemos operado de manera legal. Sin embargo, sí esperamos que las autoridades europeas y mundiales reconozcan que somos las víctimas de un crimen muy grave y que actúen en consecuencia.
Esperamos que se reconozca que nosotros somos las primeras víctimas de este ataque.
Todo esto es el resultado de una operación muy sofisticada, cuyo objetivo eraclaramente destruir nuestra empresa. Hacking Team siempre ha operado dentro de la legalidad y siempre hemos adaptado nuestras actividades a las regulaciones cambiantes y cada vez más restrictivas. De ninguna manera se puede considerar que un ataque de este tipo está razonablemente bien, sólo porque muchas personas creen que el producto que vendemos no debería estar disponible en el mercado.
¿Por qué pensáis que alguien ha querido destruir vuestra empresa? ¿Estamos hablando de venganza, de ganas de hacerse notar o con algún propósito muy específico? ¿Pensáis que una empresa como Hacking Team haya podido granjearse enemigos poderosos con la capacidad e intención de eliminaros con este tipo de acción?
Es complicado poder saber quién está detrás de este intento de destruir una empresa que opera dentro de la legalidad y que está en todo su derecho de llevar a cabo estas actividades. Pero está claro que el objetivo único del ataque ha sido destruir a Hacking Team, dado que se han encargado de publicar online nuestro código fuente, la base de nuestro producto, haciéndolo completamente obsoleto e inservible.
¿Por qué? No lo sabemos. Quizás haya sido algún grupo activista que no cree que Hacking Team tenga derecho a existir o que los servicios que ofrecemos ni siquiera deberían estar disponibles. Si es así, habría que tener en cuenta que este grupo debe de pensar que las autoridades gubernamentales o policiales no necesitan llevar a cabo operaciones de vigilancia, algo que para nosotros resulta ilógico, pero que viendo como han actuado, es una teoría cada vez más plausible.
Algún tipo de organización criminal de narcotraficantes podría estar detrás del ataque.
El ataque podría ser obra de una algún tipo de organización criminal, quizás narcotraficantes, que se opone a que la policía pueda usar nuestra tecnología en su contra. O podría haber algún otro motivo que ni siquiera somos capaces de imaginar. Esperamos que finalmente las autoridades puedan identificar, localizar y condenar a los delincuentes que han hecho esto, y si es así, quizás algún día tengamos respuesta a esta pregunta.
En relación a todos los datos de contratos que se han filtrado, ¿todo lo que se ha publicado en Internet es verdad? ¿O habéis podido identificar informaciones falsas sobre las presuntas relaciones profesionales de Hacking Team?
La verdad es que entre la información filtrada hemos podido ver muchos documentos auténticos, pero claro, no hemos podido ver todo lo que se ha publicado. Aquí el asunto más grave es que leer estos documentos filtrados sólo da una pequeña idea de todo lo que hacemos y no una imagen fiel de nuestras actividades.
Las decisiones que toma la empresa siempre se basan en la combinación de correos electrónicos, llamadas telefónicas y reuniones presenciales. Así que los documentos en sí sólo son una pequeña muestra de un proceso mucho más grande, y analizarlos así a la ligera y fuera de contexto puede llevar a malentendidos.
Con toda esta información circulando por Internet, mucha gente se está mostrando indignada con el hecho de que Hacking Team haya vendido su software y servicios a países pertenecientes a la lista negra las Naciones Unidas o conocidos por no respetar los derechos humanos. ¿Qué tenéis que decir sobre este hecho?
La verdad es que aquí hay que aclarar algunas cosas. Cuando se produjeran las ventas a estos países, ninguno de ellos estaba en la lista negra de la ONU. Lo cierto es que, a posteriori, por lo menos dos naciones con quién hacíamos negocios aparecieron en esta relación de países. Pero podemos confirmar que ninguno de ellos es ya cliente de Hacking Team.
Poco después del ataque y la publicación online de todos estos datos, pedisteis a vuestros clientes que dejaran de utilizar vuestro software de control remoto. ¿Qué peligro entraña que un cliente no haga caso a esta petición y siga usándolo?
Principalmente hicimos esa petición a modo preventivo, para proteger las investigaciones en curso que estuvieran llevando a cabo nuestros clientes. La razón es que todo el material que se recaba durante una investigación usando nuestro software se guarda tanto en sus propios sistemas como en los nuestros, y como éstos estaban comprometidos, era mejor pedirles que cesaran las actividades. Aun así, hay que destacar ninguna información de investigaciones en curso de filtró durante el ataque.
Uno de los episodios más sonados que ha salido a la luz tras el ataque ha sido el de Colombia. Diversos medios han afirmado que a través de los servicios y software de Hacking Team, la Administración para el Control de Drogas estadounidense (DEA – Drug Enforcement Agency) había interceptado todo el tráfico de Internet en el país colombiano. Por supuesto, que también hemos querido preguntarle a Eric Rabe al respecto.
Hemos leído mucho sobre el tema de Colombia y el uso de la DEA de vuestras herramientas para espiar todo el tráfico de Internet. ¿Se trata de una práctica habitual? ¿Hay más casos en los que se haya usado software de Hacking Team para interceptar todo el tráfico de un país? ¿Consideráis éticas este tipo de prácticas?
Aquí hay una clara confusión o malentendido de cómo funciona nuestro producto. No es posible que se pueda utilizar nuestra tecnología para interceptar todo el tráfico de Internet de un determinado país. Nuestro RCS (Remote Control System) sólo funciona en un dispositivo específico, no en una red entera. Nuestro software debe instalarse de manera individualizada en cada teléfono móvil u ordenador que se quiera espiar.
La noticia sobre Colombia y la DEA es todo un gran malentendido.
La manera típica de proceder consiste en que la autoridad en cuestión identifica a un sospechoso al que quiere monitorizar, pide el permiso legal necesario para llevar a cabo la vigilancia y luego se las apaña para poder instalar el software de Hacking Team en el dispositivo del sospechoso.
El CNI y la Policía Nacional, tema tabú para Hacking Team
Hasta este momento, Eric Rabe se ha mostrado bastante comunicativo en sus respuestas a las preguntas de Malavida. Pero al atacar el tema que para nosotros, y suponemos que para nuestros lectores, resulta más interesante, Eric se ha mostrado bastante más esquivo sin querer hacer demasiado hincapié en países ni clientes en particular, algo por otra parte bastante comprensible, debido a la delicadeza del asunto.
Hemos leído que el gobierno español, a través del Centro Nacional de Inteligencia (CNI) y la Policía Nacional, contrató los servicios de Hacking Team por un montante total de 3,4 millones de euros. Suponiendo que es verdad, ¿qué tipo de servicio se puede contratar por esa cantidad de dinero? ¿Qué servicios le ofrecisteis al gobierno de España?
Lo siento, pero no podemos hacer ningún comentario sobre contratos individuales ni la cantidad de dinero pagado por un cliente. En líneas generales podemos decir que nuestro sistema está configurado para las necesidades particulares de cada cliente, así que los precios pueden variar de un caso a otro. El coste depende sobre todo de la cantidad de opciones de vigilancia elegidas y el número de sospechosos que el cliente espera espiar de manera simultánea. Por eso no es de extrañar que hayáis visto facturas por importes de 1 millón de dólares o incluso más.
¿Desde cuándo ha estado Hacking Team haciendo negocios con el gobierno español? ¿Se sabe exactamente quién es la persona que contrató vuestros servicios? ¿Hay alguna otra entidad española en tratos con Hacking Team además del CNI y la Policía Nacional?
Una vez más, lamento no poder ofrecer ninguna información sobre España en particular. No podemos decir nada públicamente sobre clientes ni países de manera individualizada o particular.
Entendido. Pero una última pregunta sobre la relación de Hacking Team con el gobierno español. ¿Algún cliente de nuestro país se ha puesto en contacto con vosotros desde la filtración de todos estos documentos? ¿Tenéis clientes nerviosos que han decidido saltar por la borda?
La verdad es que desde el momento en el que se produjo el ataque, y durante toda la semana pasada, hemos estado en contacto con todos nuestros clientes. Tenemos alrededor de 50 clientes activos de muchos rincones del mundo. Obviamente, somos conscientes de que todos nuestros clientes están evaluando sus opciones, pero llegados hasta este punto, muy pocos han decidido anular los servicios contratados con Hacking Team.
Dicho esto, y habiendo evidencia de que el CNI tiene un contrato en vigor hasta enero de 2016, siempre según los documentos filtrados, no sería descabellado afirmar que alguien del gobierno español se ha puesto en contacto con Hacking Team para conocer cómo afrontar esta situación de crisis.
Fuente:https://www.malavida.com/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad