Información
Equipo Nizkor
        Tienda | Donaciones online
Derechos | Equipo Nizkor       

12jul15


El software espía de la Policía


El asunto pasó por la agenda mediática colombiana sin mayores complicaciones, pero el tema no es de poca monta. Hace una semana se empezó a filtrar información reservada de Hacking Team, una reputada empresa italiana que se especializa en vigilancia cibernética (tal cual, el hacker fue hackeado) y por ese camino se conocieron detalles de sus negocios en todo el mundo. Su producto estrella es un software que permite interceptar computadores, llamadas por skype, emails, mensajes instantáneos y contraseñas: el Sistema de Control Remoto (RCS, en inglés). Y la Policía colombiana tiene este software para espiar, el cual ya ha sido fuertemente cuestionado.

La respuesta de la entidad fue un comunicado en el que indicó que "el propósito de esta compra fue potencializar la capacidad de detección de amenazas del terrorismo y la criminalidad organizada en el ciberespacio". En un país como éste, que la Fuerza Pública recurra a todas las herramientas posibles para combatir el crimen es lo mínimo que los ciudadanos esperan. El Espectador, sin embargo, solicitó entrevista con el director de la Policía, el general Rodolfo Palomino, pues son varias las dudas que quedan al revisar en detalle la información filtrada. La oficina de prensa informó que no se iban a dar entrevistas sobre este tema.

Pero las dudas no se esfumaron. Para empezar, la Policía señaló que "no ha sostenido vínculo comercial con la firma Hacking Team", sino con Robotec Colombia S. A., lo cual podría ser una verdad a medias. Por una parte, según le explicó el gerente de Robotec, Jaime Caicedo, a este diario, lo que la Policía adquirió fue la licencia de un software cuya propiedad y derechos le pertenecen al fabricante, que es Hacking Team (HT). El Espectador le preguntó a Caicedo si la Policía sabía que HT estaba detrás del negocio, pero la respuesta de Caicedo se limitó a explicar a quién le pertenecía el software.

Por otra parte, inicialmente, HT no quería que la Policía supiera que estaba detrás del negocio. Esa intención se lee en el historial de correos filtrados -y divulgados en la plataforma de Wikileaks- entre representantes de HT y de una empresa israelí llamada Nice, que actuó como socia de HT en el negocio. En julio de 2013, empleados de ambas empresas discutían cómo y cuándo sería la presentación de la propuesta ante la Dirección de la Policía colombiana, y entonces Daniele Milan, director de operaciones de HT, le indicó Zohar Weizinger, de Nice: "Como anticipamos, estaremos allí juntos como Nice, pues en este momento no podemos presentarnos como HT".

En buena parte, HT mostraba gran interés en la Policía colombiana porque, decían sus empleados, a la institución le habían aprobado un presupuesto de US$60 millones y "al menos 20MM serán invertidos en tecnologías para mejorar capacidades y tecnologías cibernéticas (herramientas de hackeo)", advertían los delegados de Hacking Team que le seguían la pista al asunto. "No es un negocio pequeño", decían. No obstante, el resultado final fue la venta de la licencia de un software para espiar, vigente entre 2013 y 2016, que costó US$336.000 (en 2013, menos de $600 millones) y una tasa anual de mantenimiento de US$35.000. Hay otro detalle importante que se detecta entre los cientos de mensajes que se enviaron mientras las negociaciones avanzaban: que el director de ventas de Hacking Team, Marco Bettini, mostró intención de engañar a la Policía ofreciéndole, a través de su socio Nice, un producto que, al parecer, ya había adquirido con Robotec en un negocio distinto. "Si el cliente reconoce la consola, cuál será su reacción al saber (...) que estamos tratando de venderle el mismo producto dos veces?", le preguntó a Bettini el director de cuenta de HT, Alex Velasco. "Si en la demostración el cliente reconoce la consola, Nice puede decir que está integrando esa tecnología. Lo más importante es que HT no esté involucrado", respondió Bettini.

En otro mensaje, Bettini explicó que HT se había involucrado en la oferta del software de espionaje a Colombia porque Nice había insistido en que era un proyecto "multimillonario" y que se querían mantener al principio en el anonimato porque no querían dañar otra propuesta que ya tenían andando en el país. Al final, el presidente de HT, David Vincenzetti, aceptó que alguien de su empresa que nunca hubiera estado en contacto con la Policía en Colombia viajara con Nice a negociar, tal como lo pedía Nice, para que HT no fuera relacionada con el negocio. En agosto de 2013, la alianza entre Nice, Robotec y Hacking Team era un hecho.

En marzo de 2014, el negocio estuvo a punto de irse a pique. Un ingeniero de HT, Sergio Rodríguez-Solís, le escribió a su empresa informándole que la Policía estaba a punto de descalificar el software de espionaje RCS porque, supuestamente, no servía. "Aclaremos dos cosas -advirtió Rodríguez-: la primera, los usuarios no saben mucho de computación ni de celulares, así que están pidiendo magia. Y la segunda, ellos no entienden ni una palabra de inglés". En otro mensaje agregó: "El problema es la jerarquía, los jefes que quieren resultados para hoy sin profesionales y sin dejarlos practicar. Es un problema político y de deseos mágicos. Nada nuevo en HT".

Un detalle: en los mensajes aparece algo más que la Policía podría aclarar, y es que en diciembre de 2013 Hugo Ardila, de Robotec, director del área de defensa y seguridad nacional de Robotec, les envió estas palabras a HT y a Nice: "Nuestros amigos de la Policía nos contaron que consiguieron el contrato de Puma. Felicitaciones. Aquí estaremos para cualquier otra cosa". Si Robotec era el aliado de HT y Nice, ¿por qué se habla del negocio Puma (Plataforma Única de Monitoreo y Análisis) como algo aparte? ¿Le ofrecieron dos veces lo mismo a la Policía, como decían otros mensajes, o eran negocios distintos?

En los registros financieros de Hacking Team que se divulgaron figura un negocio con la Dirección de Inteligencia de la Policía (Dipol) por US$335.000, con Robotec como socio. Y se lee de un segundo proyecto con la Dipon (Dirección Nacional de la Policía), específicamente para el programa Puma, por el que se esperaban US$608.000 en 2014 y, en 2015, US $750.000. Pero Puma no está funcionando. De hecho, no pudo arrancar por una feroz oposición del fiscal general, Eduardo Montealegre, quien señaló que Puma podía volverse una rueda suelta y que sólo la Fiscalía tenía la facultad de interceptar comunicaciones".

Una entidad como la Policía no puede hacer otra cosa que abordar con guantes de seda un tema como el espionaje. No sólo por los antecedentes obvios, como las chuzadas del DAS a la oposición en la época Uribe. O por las interceptaciones irregulares -que alcanzaron hasta a los negociadores del Gobierno en La Habana- que se detectaron en la Sala Gris de la Central de Inteligencia Militar y en lugares fachada como "Andrómeda", en Bogotá. O por la aparición y posterior condena de hackers como Andrés Sepúlveda, quien admitió haber hecho trabajos cibernéticos ilegales contratado por el entonces candidato presidencial del Centro Democrático, Óscar Iván Zuluaga.

Además de todos esos precedentes, la Policía tiene su propia mancha: en 2007, la revista Semana reveló que este organismo había hecho interceptaciones ilegales a personajes de la vida pública como Claudia Gurisatti, hoy directora de Noticias RCN, o Carlos Gaviria, el exmagistrado de la Corte Constitucional que falleció el pasado 31 de marzo. "Se descubrió que personal de la Dirección de Inteligencia de la Policía Nacional (Dipol) grababa de manera ilegal a miembros del Gobierno, de la oposición y periodistas desde hacía dos años", señaló entonces la propia revista. El escándalo le costó la cabeza a 11 generales, incluido el director de la época, Jorge Daniel Castro.

Antecedentes complicados

Colombia, como cualquier otro país, necesita herramientas para combatir la criminalidad. Pero el software de espionaje que escogió para hacerlo, el RCS de Hacking Team, ha sido duramente cuestionado desde antes de que Colombia lo adquiriera. En julio de 2012, el portal de noticias estadounidense Bloomberg reveló que el computador del activista pro-democracia Ahmed Mansoor, de los Emiratos Árabes Unidos, había sido interceptado ilegalmente. En ese mismo mes la historia se repitió con un grupo de periodistas en Marruecos. ¿Cuál era el factor común? El software que, a través de un virus troyano, se había instalado en los equipos. ¿Cuál era el software? RCS, de Hacking Team.

El Espectador le preguntó al gerente de Robotec, Jaime Caicedo, si conocía estos antecedentes del software que comercializa su empresa (pregunta que también se le habría hecho a la Policía). Su respuesta fue: "Es lamentable el mal uso que se dé sobre cualquier herramienta. El propósito de la tecnología de Hacking Team es proporcionar a las agencias de ley una herramienta que les permita llevar a cabo sus investigaciones, prevenir el crimen y perseguir a aquellos responsables de haberlo cometido. RCS es una herramienta de vigilancia que solamente se vende a agencias gubernamentales de ley. Cada agencia debe tener sus procedimientos para garantizar su buen uso" .

Caicedo señaló algo más: "El fabricante Hacking Team indica (que) los investigadores tienen un récord completo de la investigación realizada utilizando herramientas de Hacking Team. Nadie más puede rastrear su uso". Sin embargo, hay una organización que ha analizado, por lo menos desde 2012, el RCS de HT: Citizen Lab, de la Universidad de Toronto, la cual indicó que este software sí tiene manera de ser rastreado. Citizen Lab resaltó otro aspecto importante: "La combinación de la proliferación global, y las promesas dudosas de sigilo, lleva a posibles peligros en un mercado sin regulación y sin transparencia".

Esa ausencia de control podría verse reflejada en episodios como el lío entre Hacking Team y las Naciones Unidas. El año pasado, la ONU les envió varias comunicaciones tanto a Hacking Team como al representante de Italia ante las Naciones Unidas preguntando por qué Hacking Team le había vendido el software RCS a Sudán, país que tenía un embargo de armas y que podía usar ese programa "para inteligencia militar electrónica". En abril de este año, HT respondió que el RCS de ninguna manera podía considerar un arma y que siempre había demostrado ser una empresa seria que operaba en la legalidad.

Mientras todos estos interrogantes se resuelven, Robotec, el socio de HT en Colombia desde 2009, afirma que su prioridad ahora mismo, mientras información confidencial de Hacking Team sigue saliendo a la superficie, es "la relación con nuestros clientes", pues los detalles del funcionamiento del RCS también podrían obstaculizar investigaciones penales. Desde que HT fue hackeada, esta empresa señaló que se encontraba en una "situación peligrosa", evaluando cómo mitigar el peligro. "Todos nuestros clientes han suspendido el uso del sistema que se vio comprometido en el ataque", señaló la compañía.

Otros clientes de Hacking Team

La lista de países u organismos que han adquirido una licencia para usar el software de espionaje RCS, creado por Hacking Team, es extensa. En ella figuran la Policía italiana, el Centro Nacional de Inteligencia de España, las autoridades tributarias de Luxemburgo, el FBI y la DEA de Estados Unidos.

Figuran también, sin embargo, países con registros desastrosos en materia de protección de derechos humanos. Es el caso de Omán, Uzbekistán, la Policía de Marruecos, el aparato de seguridad nacional de Egipto, organismos de Catar y Arabia Saudita.

El robo de información que le hicieron a Hacking Team fue de 400 GB. Wikileaks se unió y hace unos días subió a su plataforma más de un millón de correos electrónicos que salieron o entraron de las cuentas de empleados de Hacking Team. "Estos mensajes internos muestran, desde adentro, el trabajo de una industria tan global como controversial: la de la vigilancia", señaló el portal.

El asunto Hacking Team en los medios

Tres medios colombianos en particular le prestaron algo de atención a este tema. El primero fue el portal Las 2 Orillas, que cuestionó por qué la Policía había contratado a una empresa de servicios de espionaje. Poco después, la Policía diría en un comunicado que "el objetivo de la adquisición de esta herramienta fue la protección de los colombianos".

El diario El Tiempo también se detuvo en el tema: la sección tecnósfera explicó de manera parecida la información que había divulgado Las 2 Orillas y explicó la parte más técnica del software de Hacking Team: "Un sistema instalado directamente en el dispositivo que se desea vigilar".

La W, por su parte, también cubrió el tema. Entrevistó a Jaime Caicedo, gerente de Robotec, y a un investigador de la Universidad de Pennsylvania, quien advirtió que la operación de HT en Colombia es muy agresiva

[Fuente: Por Diana Carolina Durán Núñez, El Espectador, Bogotá, 12jul15]

Tienda Donaciones online Radio Nizkor

DDHH en Colombia
small logoThis document has been published on 14Jul15 by the Equipo Nizkor and Derechos Human Rights. In accordance with Title 17 U.S.C. Section 107, this material is distributed without profit to those who have expressed a prior interest in receiving the included information for research and educational purposes.