Ciberguerra a la venta

Detrás del «hackeo» de las elecciones internas del Partido Acción Nacional en Puebla, México, estaba un software de Hacking Team. Los documentos filtrados sobre esta empresa muestran la sombría industria mundial de vigilancia de actividad virtual.

Por Mattathias Schwartz | La mañana del 18 de mayo de 2014, Violeta Lagunes quedó perpleja por una serie de extraños mensajes que aparecieron en su correo. Era el día de las votaciones para elegir al líder de la agrupación política mexicana de derecha, Partido Acción Nacional (PAN), y Lagunes, una excongresista federal, tuvo una reunión estratégica en su oficina de la ciudad de Puebla. Los correos electrónicos le parecieron inofensivos, por lo menos al principio. Parecía que uno provenía de la cuenta de un colega confiable. Le pedía que descargara y revisara un documento.

Lagunes hizo clic en el enlace pero, al parecer no funcionaba, así que le respondió a su colega y le pidió que lo enviara de nuevo. En otro correo había un mensaje en el que Google le advertía que alguien había intentado entrar a su cuenta. Mientras tanto, comenzó a recibir llamadas de aliados del PAN que afirmaban haber recibido correos electrónicos de su cuenta que ella no recordaba haber enviado.

Ahora estaba preocupada. Cerca de la una de la tarde llamó al colega que supuestamente le había enviado el correo. Lo alcanzó en un restaurante donde estaba terminando de almorzar con otros aliados de campaña. “No te envié ningún correo”, le contestó. Un asesor de la campaña —quien pidió conservar su anonimato para proteger su relación con otros candidatos— escuchó la conversación. Sabía de otros empleados de la campaña que habían estado recibiendo mensajes similares: correos con asuntos ambiguos, en los que se le pedía al destinatario que revisara un documento o hiciera clic en un vínculo. Se dio cuenta de que la campaña había sido hackeada.

En la votación del líder del partido, Lagunes y sus aliados de Puebla —población del suroeste ubicada a dos horas de Ciudad de México— estaban apoyando a Ernesto Cordero, un senador que prometió lograr que el partido regresara a sus raíces conservadoras. Sin embargo, el titular en ese momento, Gustavo Madero, era respaldado por Rafael Moreno Valle, el poderoso gobernador de Puebla y una figura política en ascenso, muy cercano al actual presidente de México, Enrique Peña Nieto.

Moreno ha forjado una alianza entre el PAN y el Partido Revolucionario Institucional (PRI), en el que milita Peña, que durante mucho tiempo ha sido la fuerza dominante de la política mexicana. Los opositores de Moreno dicen que desde que ganó la gobernación en 2010, sus ambiciones han crecido por lo que ha recurrido a medidas cada vez más duras para mantener bajo control al estado de Puebla —incluyendo a los miembros de su propio partido—. “Al principio, el gobernador era discreto y respetuoso”, me dijo Rafael Micalco, un exlíder del PAN en Puebla. “Cuando se volvió gobernador, se transformó. Ahora controla al partido mediante amenazas”.

Esta carrera para mantener el control del liderazgo del PAN en 2014 fue una prueba crucial para el gobernador quien, en septiembre pasado, anunció públicamente su intención de postularse en 2018 a la presidencia de México. Los choques entre ambos bandos fueron particularmente intensos en Puebla, donde los simpatizantes de Ernesto Cordero, el otro contrincante en las elecciones nacionales del PAN, afirmaron que el gobernador utilizó los fondos públicos para apoyar a Gustavo Madero, aunque la oficina de Moreno ha negado esas acusaciones. Poco antes de la elección, el jefe de campaña de Madero dijo que el equipo de Cordero intentaba socavar la legitimidad del proceso. “Su estrategia ha sido clara desde el inicio”, dijo en una entrevista con una revista mexicana. “‘Si gano, qué bueno. Si no, me hicieron trampa’”.

Después de la llamada de Lagunes el día de la elección, sus colegas se fueron del restaurante y regresaron a su sede local, el salón de conferencias de un hotel al que apodaban “el búnker”. Toda la mañana intentaron comunicarse con su red de campo, un grupo de 40 agentes electorales de Cordero que trabajaron para obtener votos en Puebla. No obstante, la red parecía haberse desconectado. Pocos agentes estaban contestando sus teléfonos. El equipo concluyó que los hackers seguramente habían encontrado la lista con los nombres y teléfonos de los agentes electorales —la cual había circulado por correos electrónicos de manera extensa entre el equipo de campaña— y habían comenzado a intimidarlos.

“El día anterior”, me dijo el asesor, la red de campo estaba “motivada y dispuesta a hacer este trabajo. Después del hackeo fue muy difícil comunicarse con ellos. Los pocos que contestaron dijeron que habían recibido llamadas telefónicas en las que les decían que sus vidas estaban en peligro. Les preocupaba que si salían, ellos o sus familias podían ser heridos”.

De acuerdo con otro empleado de la campaña de Cordero, quien también pidió conservar el anonimato por miedo a las represalias, dijo que el mensaje dirigido a los agentes fue simple y directo: “Sabemos quiénes son. Si no quieren problemas, apaguen sus celulares y detengan sus actividades”. El trabajador agregó: “Es un régimen autoritario”.

Finalmente, Madero ganó la elección con 57 por ciento de los 162.792 votos que se emitieron. En Puebla su margen fue sustancialmente más amplio, casi del 74 por ciento. El equipo de Cordero decidió no impugnar el resultado. Tenían sospechas de que los habían hackeado pero pasaría otro año antes de que surgiera cualquier tipo de evidencia. Sus enemigos políticos, según demostraron varios documentos filtrados, crearon una operación de espionaje utilizando un software de una firma italiana llamada Hacking Team, una de las empresas privadas que, sin el conocimiento del público, han surgido para ayudar a que los gobiernos vigilen las vidas privadas de los ciudadanos comunes. La industria afirma que sus productos cumplen con las leyes locales y se utilizan para combatir el crimen y el terrorismo. Sin embargo, en muchos países del mundo, estas herramientas también son usadas para el espionaje político.

Un oficinista estadounidense envía y recibe en promedio unos 120 correos al día y ese número crece cada año. La omnipresencia y utilidad del correo electrónico lo ha convertido en un registro detallado de nuestras vidas cotidianas, lleno de detalles mundanos y potencialmente vergonzosos, almacenado en un archivo perpetuo que es accesible desde cualquier parte del planeta y, en algunos casos, protegido solamente por una contraseña.

En el caso de Violeta Lagunes, el inicio de sesión de su correo electrónico representaba un punto vulnerable, una grieta en los muros digitales que protegían su campaña y su capacidad de determinar si un mensaje supuestamente confiable era real o falso. Casi dos años después, John Podesta, el director de la campaña de Hillary Clinton, enfrentó una situación similar. Un correo electrónico le advertía que alguien en Ucrania había intentado entrar a su cuenta de Gmail y le pedía darle clic a un botón para restablecer su contraseña. Su asesor sénior le envió el correo a uno de los expertos en tecnología de la campaña. “Este es un correo legítimo”, le respondió el técnico en un mensaje que fue un simple error de escritura de su parte porque luego aclaró que lo que quiso decir es que no era legítimo. “El de Gmail es REAL”, les escribió el asesor a Podesta y a otro asistente.

Al igual que Lagunes, Podesta cayó en una trampa. Al parecer, el botón conectaba el mensaje a una página oficial de Google, pero en realidad era un sitio falso meticulosamente personalizado con un dominio electrónico asociado a un grupo de atolones en el Pacífico Sur. Los detalles fueron diseñados para engañar a Podesta y obtener su contraseña. Esta técnica se conoce como “spear phishing”. Es un arma especialmente potente contra las empresas y organizaciones políticas porque le basta con tener éxito una sola vez.

Después de eso, los atacantes pueden usar la identidad de la primera cuenta afectada para convencer a otros colegas de que abran adjuntos infectados o hagan clic en enlaces malignos. Una contraseña vigente de correo electrónico puede dar acceso a años de conversaciones laborales, facturas, recibos de tarjetas de crédito y recordatorios confidenciales; a menudo puede ser aprovechada para controlar otras cuentas personales —Twitter, Facebook, Amazon— e incluso acceder a servidores de empresas y dominios de internet.

Los casos de Podesta y Lagunes están lejos de ser los únicos en que los hackers han utilizado información proveniente de correos robados contra toda una institución. El incidente de 2009 llamado “Climategate”, que expuso un arsenal de correos de prominentes investigadores sobre el clima, comenzó cuando unos hackers entraron remotamente a los servidores de una universidad británica usando contraseñas robadas. La manipulación de los archivos internos de Sony en 2014, que los funcionarios estadounidenses le atribuyeron al gobierno norcoreano, comenzó con una serie de correos electrónicos de “spear phishing” que los atacantes utilizaron para entrar en los servidores. Cada manipulación le otorgó a los atacantes el acceso a los pensamientos más privados y las acciones de los miembros de cada organización: sus insultos, sus desacuerdos, los planes a medias, sus halagos melosos y todo lo que queda registrado desde el momento en que el autor da clic en el botón de “Enviar”. Antes, los hackers tenían que correr más riesgos y recurrir a tácticas como los sobornos o el robo. Ahora, en muchos casos, lo único que tienen que hacer es enviar un enlace.

La Casa Blanca, la CIA y el FBI han afirmado que, basados en evidencia clasificada, pueden rastrear los hackeos de la cuenta de correo de Podesta (y otros ataques a personas vinculadas a la campaña de Clinton) hasta el gobierno ruso. Pero con el ascenso de firmas privadas como Hacking Team, penetrar las cuentas de correo de los oponentes políticos no requiere la cantidad de dinero y conocimiento que solo las principales potencias tienen a su disposición. Un sitio web de suscripciones llamado Insider Surveillance tiene una lista de más de una decena de empresas que venden programas malignos éticos, incluyendo a la compañía Hacking Team —con sede en Milán—, las firmas alemanas FinFisher y Trovicor, y la empresa israelí Nice.

Comparado con las armas convencionales, el software de vigilancia tiene pocos controles comerciales; recientemente fracasó un intento de Estados Unidos para regularlo con un pacto de 41 países llamado el Acuerdo Wassenaar. “La tecnología es moralmente neutral”, dice Joel Brenner, un exinspector general de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés). “El mismo programa que utilizas para monitorear a una niñera, podría ser usado por Bashar Al Asad o Abdulfatah el Sisi para vigilar a quienes no les agradan”.

Hacking Team cuenta con menos de 50 empleados pero tiene clientes en todo el mundo. Según documentos internos, su herramienta de espionaje llamada Remote Control System (RCS) puede comprarse por 200.000 dólares al año… una cifra que está dentro del presupuesto de un dictador de provincia. Después de instalarse clandestinamente en la computadora o el celular de la víctima, el Remote Control System puede espiar todo de manera invisible: mensajes de texto, correos electrónicos, llamadas de Skype, información de localización, etcétera. Mientras que los programas de la NSA recogen información de cables submarinos y cuartos confidenciales, el RCS lo adquiere directamente de la fuente a partir del dispositivo de la víctima, antes de que pueda cifrarse. Es el equivalente invisible y digitalizado de un allanamiento al estilo de Watergate.

El gobierno estadounidense es casi con toda seguridad el repositorio más formidable del talento de hackeo, pero sus ciberarmas más poderosas generalmente están reservadas para las agencias de inteligencia y los militares. Eso podría explicar por qué, según los documentos empresariales, por lo menos dos agencias federales han sido clientes de Hacking Team: el FBI, desde 2011, y la Administración para el Control de Drogas (DEA, por su sigla en inglés), a partir de 2012. El FBI le pagó más de 700.000 dólares a Hacking Team; al parecer la DEA utilizó el software para perseguir a sus objetivos en Colombia.

Hay documentos que muestran que la empresa también le vendió su software a algunos de los gobiernos más represores del mundo. Algunos de esos países como Honduras, Etiopía, Baréin, Marruecos, Egipto y Arabia Saudita, son aliados de Occidente. Otros países como Uzbekistán y Turquía tienen una relación más problemática. Pocos son abiertamente hostiles a Occidente. Entre 2012 y 2014, Hacking Team recibió casi un millón de euros del gobierno de Sudán, al que Estados Unidos designó como Estado patrocinador del terrorismo. Ante algunos sucesos recientes, es mucho más notable la relación que Hacking Team tuvo durante tres años con la FSB, una de las principales agencias de inteligencia de Rusia. Hacking Team utilizó a un intermediario, una agencia de investigación llamada Kvant, para manejar sus ventas en Rusia. Entre 2012 y 2014, esa agencia le pagó 451.000 euros a Hacking Team para tener la licencia de Remote Control System.

Violeta Lagunes, la dirigente mexicana cuya cuenta de correo fue atacada durante la campaña electoral de la secretaría general del Partido Acción Nacional (PAN). CreditDominic Bracco II/Prime para The New York Times

Hacking Team afirma que le pone un límite a los clientes que cometen “abusos flagrantes a los derechos humanos” y que solo le vende a gobiernos que operan dentro de las leyes de sus países. David Vincenzetti, fundador de Hacking Team y su director ejecutivo, le dijo a un vendedor que pospusiera una venta a un potencial cliente mexicano. “Le vendemos a fuerzas de seguridad gubernamentales y oficiales, y únicamente a agencias de seguridad”, escribió en un correo electrónico. Pero, en otras ocasiones, prevaleció una actitud más casual dentro de la empresa. “Si uno le vende emparedados a Sudán no está sujeto, hasta donde llegan mis conocimientos, a la ley”, escribió un abogado de Hacking Team en un correo electrónico. “Hacking Team debería ser tratado como un vendedor de emparedados”.

Cuando se le preguntó por sus acuerdos en varios países, la empresa respondió que “no hace comentarios en torno a acuerdos confidenciales de negocios”. Su portavoz estadounidense, Eric Rabe, me dijo que ni Rusia ni Sudán son clientes actuales de Hacking Team (su relación con esos países, escribió Rabe, terminó en 2014: con Rusia finalizó porque “el gobierno de Putin pasó de ser amigable con Occidente a convertirse en un régimen más hostil” y con Sudán “debido a preocupaciones sobre la capacidad de ese país para utilizar el sistema, según el contrato de HT”). De manera independiente, la compañía confirmó que el estado de Puebla era, de hecho, un cliente antiguo.

Hasta hace poco, gran parte de lo que se conocía del mundo de las empresas de vigilancia privada era un asunto de rumores y especulación. Los protagonistas de esa industria mantenían un perfil bajo, al operar discretamente desde oficinas rentadas y algunas veces al año se reunían con sus potenciales clientes en ferias comerciales que son investigadas cuidadosamente. Por eso fue tan notable cuando, en julio de 2015, apareció un tuit inusual en la cuenta de Hacking Team.

“Como no tenemos nada que ocultar”, decía, “publicaremos todos nuestros correos electrónicos, archivos y código fuente”. Después apareció otro mensaje con enlaces a un archivo descargable llamado Hacked Team. El archivo era enorme: 420 gigabites de material proveniente de los servidores internos de Hacking Team. Adentro había 33 carpetas que contenían contratos, documentos de nómina, facturas, recordatorios legales, registros de asesoría al cliente y una reserva de correspondencia de correos que incluía a toda la jerarquía desde el director ejecutivo.

Hacking Team había sido hackeada. WikiLeaks aprovechó una violación de seguridad y rápidamente subió a internet los correos en una base de datos indexada. Cualquiera que tuviera conexión a internet podía leer cómo el director ejecutivo bromeaba sobre la forma en que su empresa se dedicaba al negocio de vender “la tecnología más malvada del planeta”. También se podía navegar por todo el código fuente de Hacking Team, incluyendo una línea que utilizaba “bomb_blueprints.pdf” como marcador para los archivos que podían encontrarse en el dispositivo de una víctima. En Reddit, se formó un grupo dedicado a criticar las inútiles costumbres digitales de un ingeniero de Hacking Team y sus propias contraseñas que eran notablemente débiles: HTPassword!, P4ssword, Passw0rd.

Pero las revelaciones más dañinas de la filtración fueron las listas de clientes de Hacking Team y los nombres de algunos de los blancos de sus clientes. En Corea del Sur, los diarios se concentraron en la evidencia que sugería que el software había ayudado al servicio de inteligencia del país a que amañaran una elección; después de la filtración se suicidó un agente que, según los reportes, había utilizado el sistema. En Ecuador, una revista encontró un correo electrónico con siete números telefónicos que, al parecer, el gobierno había vigilado utilizando el RCS. Tres pertenecían a legisladores y un cuarto al alcalde de Quito pero los cuatro eran miembros del partido de oposición.

Puesto que el código fuente del Remote Control System se hizo público, la empresa y sus clientes dejaron de utilizarlo temporalmente. Sin embargo, para fines de año, Hacking Team había actualizado el producto e intentaba recuperar su reputación. Tenía la curiosidad de saber si una empresa que se beneficiaba de las violaciones de seguridad podía recuperarse de un ataque. Eric Rabe, el portavoz estadounidense, parecía dispuesto a reunirse conmigo para tomar un café en Filadelfia. Es un antiguo presentador de noticias televisivas que tiene credibilidad. “Si no estás de acuerdo con alguien en internet”, dijo refiriéndose a los archivos de Hacked Team, “no hay necesidad de tener un debate público. Solo ve y destrúyelos”.

Un par de meses después fui a Milán a visitar la sede de Hacking Team, un edificio gris de apartamentos con macetas de flores marchitas que adornan algunas repisas sucias. Para hacer una demostración del software de la empresa estaban Rabe; Phillipe Vinci, el vicepresidente de la compañía, y Alessandro Scarafile, un joven ingeniero. Scarafile tenía una computadora Dell de escritorio y tres celulares: un iPhone, un BlackBerry y un Android. La pantalla de su laptop, que representaba la consola de la agencia de inteligencia de un cliente, estaba proyectada en la pared.

Varios iconos mostraban los distintos flujos de información que potencialmente podrían verse al tomar el control de la computadora de la víctima: imágenes de cámaras internas, sonido de micrófonos internos, impresiones de pantalla, registros detallados de las aplicaciones abiertas y los bitcoines transferidos, un registro continuo de ubicación con latitud y longitud, así como los registros de las libretas de direcciones, calendarios, llamadas telefónicas, llamadas de Skype y contraseñas, así como los sitios web visitados. Un registro de teclas grababa cada tecla que se presionaba. Eran muchas cosas que controlar. Otras dos vistas, llamadas “línea de eventos” y “línea de acciones”, reunían la información en orden cronológico.

Scarafile, quien interpretaba el papel del cliente y el de la víctima, encendió la Dell. Después de ver el fondo de pantalla de la computadora, una escena gótica enmarcada por siluetas de castillos, parecía que estaba planeando un ataque terrorista desde Transilvania.

Scarafile explicó que existen tres métodos para hacer que el Remote Control System acceda al dispositivo de una víctima. Los clientes pueden obtener acceso físico al dispositivo y después infectarlo con una memoria USB o una tarjeta de memoria. Pueden irradiar el RCS en un wifi, o pueden enviar un correo y hacer que la víctima le dé clic a un adjunto infectado… generalmente, un archivo de un programa reconocido como Microsoft Word o PowerPoint. Scarafile no mencionó un cuarto método, descrito por los críticos de Hacking Team y al que se refieren en sus correos internos: la instalación del RCS mediante un proceso más complejo llamado “inyección de red” que, supuestamente, requiere determinar la ubicación exacta de la víctima en internet y observarla mientras busca, por ejemplo, un video de gatos en YouTube, y después ofrecerle una versión falsa de la misma página, una que tenga el video al fondo —con el logo de YouTube y todo— mientras el RCS atraviesa sus defensas digitales de forma discreta.

Sea cual sea el método de infección el código maligno, conocido como “agente”, después se comunica con sus controladores de manera anónima a través de envíos transferidos por una serie de servidores que se encuentran en todo el mundo. Aunque la víctima sospeche y averigüe que algo está mal, esta cadena de servidores hace que sea casi imposible saber exactamente quién está utilizando el producto de Hacking Team para espiarla.

David Vincenzetti, el director ejecutivo de Hacking Team, en Milán CreditLuca Locatelli/Institute para The New York Times

Para la demostración, Scarafile optó por el tercer método, al cual se refirió como “un poco de ingeniería social”. Utilizando la computadora del cliente le envió a la víctima un correo con un archivo adjunto de Word. Después regresó a la computadora de la víctima y le dio doble clic al enlace, justo como Lagunes había hecho con el que estaba en su buzón de entrada. “A partir de ahora”, dijo, “este sistema está infectado, o monitoreado por el Remote Control System”. Seguiría estando infectado aunque la víctima apagara su dispositivo o saliera de su cuenta.

En la línea de tiempo, el objetivo aparecía como un patán desaliñado vestido con una camiseta, llamado “Jimmy Page… dirigente de una célula terrorista”. Utilizando la Dell de “Jimmy Page”, Scarafile accedió al Gmail, Facebook y Twitter de Page. Abrió Skype, analizó a los colegas criminales de Page (Don Corleone, Harry Potter, Keyser Soze) y le dejó a uno de ellos un mensaje de voz desde el celular de Page. Accediendo a una memoria USB conectada a la computadora infectada, Scarafile abrió un archivo cifrado que resultó contener una orden para “matar a David Vincenzetti”. RCS lo capturó todo incluyendo imágenes periódicas de Scarafile, encarnando a Page, mientras trabajaba.

“No me gustan las palabras ‘inyectar’ e ‘infectar’”, dijo Vinci, el vicepresidente. “RCS está desplegando el agente en el dispositivo de la víctima porque quieres monitorear algunas de sus actividades. Exactamente de la misma manera en que las fuerzas del orden escuchan algunas de tus llamadas, ¿no?”.

Rabe me había dicho que Vincenzetti era “un combatiente”, y que su lado combativo era obvio debido a una mezcla de recortes de revistas e impresiones que tenía pegadas en la pared detrás de su escritorio… una suerte de pizarra de sus estados de ánimo, como las que se usan en la industria de la publicidad para inspirarse antes de lanzar una nueva marca. Sin embargo, la pizarra de Vincenzetti no se trataba de zapatos o refrescos. Era sobre la lucha mundial por el poder, la cual concibe como un gran conflicto, una batalla entre los buenos y los malos.

Del lado bueno había una foto de la campana que los aspirantes a soldados de la Marina estadounidense pueden hacer sonar en caso de querer renunciar al programa durante la Semana Infernal, y una cita de otro empresario acerca de que “el negocio es guerra”. Del lado malo, Vincenzetti había pegado una imagen satelital que mostraba una de las zonas más conflictivas de tensión internacional, las islas artificiales que se alzan en el mar de China Meridional, una línea de peones terrestres que impulsan el dominio de la influencia china. A su lado se encontraba un gráfico de Irán en el que se describía cómo ese país podría seguir impulsando su programa nuclear, a pesar del reciente acuerdo con Estados Unidos.

“Creo que el acuerdo de Irán es simplemente terrible”, dijo Vincenzetti, y después agregó con sarcasmo: “Ah, es una expansión tan pacífica. Muy pacífica”.

“Esa no es la postura oficial de la empresa”, interpuso Rabe.

Vincenzetti, de 48 años, parece una persona familiar… pero en realidad es un empresario ferozmente competitivo y motivado, cuya existencia se organiza en torno a su trabajo. Su esposa nació en Marruecos y no tiene hijos. Sus ojos pequeños y de párpados pesados pueden hacer que luzca indiferente de una manera somnolienta. La mañana que nos conocimos llevaba jeans, un saco azul marino y una camisa rayada con los botones desabrochados hasta la mitad del pecho. Parecía más cómodo de pie que sentado. Mientras hablábamos en un salón de conferencias, se puso de pie y paseaba alrededor de la mesa observando la máquina de café, el paisaje de la ventana o una caja de agua embotellada.

“Si quisiera entrar a la fuerza en esta habitación, ¿cómo lo haría?”, preguntó. “Hay una puerta y hay dos ventanas”. Puso sus manos contra los páneles de cristal. “El perímetro es lo primero que debes asegurar”, continuó. En los inicios de su carrera se dedicó a proteger información. Ahora había avanzado. “Si no puedes entrar a la fuerza en un banco, no puedes protegerlo. Así que cuando estás en seguridad, en realidad no hay diferencia entre pensar ofensiva y defensivamente”.

A mediados de los ochenta, los padres de Vincenzetti, un vendedor y una profesora, le compraron una Commodore 64, una de las primeras computadoras personales. Pronto creó un clon de Pac-Man, un juego al estilo de Tron y otro de aventuras basadas en textos. En los noventa, siendo estudiante de informática en la Universidad de Milán, desarrolló una fascinación por la criptografía y se escribía con programadores de todo el mundo acerca de nuevas teorías criptográficas, además escribió un código para el cifrado de correos. En su último año fue el encargado de administrar la red interna de la universidad, un puesto que generalmente se reservaba a los estudiantes de posgrado. Vincenzetti recuerda esos primeros días como una época en la que “todo era gratis y nadie intentaba dañarte. Estábamos totalmente abiertos y accesibles. Los mejores se llamaban hackers, y yo era un hacker”.

Vincenzetti dejó la universidad prematuramente y fundó tres empresas; todas se enfocaban en la ciberseguridad defensiva. Después de fundar Hacking Team, en 2003, intentó venderle sus servicios a las agencias policiacas italianas pero vio que eran escépticas de que los mafiosos y otros criminales de alto nivel se molestaran en cifrar sus comunicaciones. En Italia, la policía estaba acostumbrada a obtener lo que necesitaba mediante el espionaje telefónico, organizado con distintos niveles de formalidad a través de sus contactos con las firmas de telecomunicaciones.

Pero después de los atentados de Madrid en 2004, que fueron coordinados a través de celulares e internet, los oficiales de policía y agentes de inteligencia, no solo en Italia sino en toda Europa, se interesaron por contratar proveedores de hackeo ofensivo, parte de una emergente carrera armamentística dedicada al cifrado comercial. El crecimiento de Skype hizo que fuera fácil para los usuarios cifrar sus comunicaciones y las autoridades estaban dispuestas a pagar medidas correctivas como el Remote Control System. Singapur, el primer cliente de Hacking Team fuera de Europa, lo contrató en 2008. El negocio de la empresa en Medio Oriente despegó en 2011, un auge que coincidió con el inicio de la Primavera Árabe.

Para ese entonces, Hacking Team había entrado en una fase de crecimiento pues su negocio estaba impulsado por la demanda entre los gobiernos del tercer mundo que necesitaban las herramientas de vigilancia del primer mundo. De acuerdo con dos antiguos empleados, la empresa sostuvo charlas con el principal funcionario de seguridad del coronel Muamar Gadafi, quien quería crear un sistema nacional de recolección de información que pudiera incluirse en cada celular libio (Rabe no confirmó ni negó que esta reunión haya sucedido y agregó: “A menudo la empresa recibe peticiones para proveer servicios que no vendería ni tiene disponibles”). Naciones Unidas, que prohíbe la exportación de “armas electrónicas” a Sudán, ha investigado las actividades de Hacking Team en ese país.

Hace poco, 19 miembros del parlamento italiano firmaron una petición en la que se preguntaban si el gobierno egipcio pudo haber usado el RCS para rastrear a Giulio Regeni, un estudiante italiano de 28 años que parece haber estado bajo vigilancia y cuyo cuerpo mutilado apareció el año pasado en una carretera de Egipto. El software de Hacking Team no se ha asociado con ese caso pero la empresa ha hecho negocios con el actual régimen egipcio.

Como parte de la controversia, el gobierno italiano revocó temporalmente la licencia de exportación mundial de Hacking Team, así que durante varios meses la empresa tuvo que registrar una solicitud independiente para cada uno de sus clientes fuera de la Unión Europea (cuando le mencioné el caso de Regeni a Rabe, dijo que el estudiante asesinado era “un italiano que hizo que lo mataran en Egipto”. Citó la política oficial de Hacking Team: la empresa no conoce, ni desea saber las identidades de las personas que sus clientes eligen atacar. “No hay evidencia de que el software de Hacking Team tuviera algo que ver con el fallecimiento de Regeni”, dijo Rabe).

La entrada a las oficinas de Hacking Team en Milán CreditLuca Locatelli/Institute para The New York Times

Todos los clientes de la empresa firman contratos en los que se comprometen a cumplir con las leyes locales. La compañía dice que veta a clientes potenciales y estudia los informes de periodistas y grupos de defensa de derechos humanos en busca de “evidencia objetiva o preocupaciones creíbles” de que sus productos están siendo mal utilizados. Pero cuando se trata de las interacciones de Hacking Team con sus clientes, los documentos filtrados sugieren que los empleados a veces ignoran esos asuntos. En el caso del gobierno de Puebla y otros clientes latinoamericanos, parece que el personal ignoró las advertencias en las que se insinuaba que el Remote Control System se estaba utilizando para recolectar información de los opositores políticos.

En varias ocasiones, los clientes le enviaron documentos adjuntos a Hacking Team con contenido relacionado con elecciones, incluyendo información de encuestas, formularios de partido e invitaciones dirigidas y firmadas por funcionarios electos. En vez de preguntar cómo estaban relacionados esos archivos con la lucha contra el crimen y el tráfico de drogas, los técnicos simplemente respondieron con un correo, como se lo pidieron, con un “software maligno” incluido con lo cual convertían ese documento en una herramienta de vigilancia que podía usarse contra quien lo recibiera. Cuando se le preguntó sobre esos casos, Rabe respondió que los clientes “no deben usarlo con propósitos políticos, pero no creo que sea razonable esperar que un programador italiano”, por ejemplo, un técnico de soporte, “hubiera visto esos archivos y supiera qué estaba pasando… creo que eso es una exageración, que un italiano que trabaja con software supiera que un sujeto es un disidente”.

El crítico más prominente de Hacking Team es Citizen Lab, un grupo de investigación de la Munk School of Global Affairs de la Universidad de Toronto. Antes de la filtración de Hacked Team, Citizen Lab documentó casos en los que el software de Hacking Team apareció en los dispositivos de activistas en Marruecos y los Emiratos Árabes Unidos, así como en el caso de un periodista etíope-estadounidense en Alejandría, Virginia. Ronald Deibert, director de Citizen Lab, me dijo que Hacking Team “es una empresa que al parecer no tiene controles internos para verificar el abuso de sus productos”. Cuando le pregunté a Vincenzetti acerca de esto, dijo que Citizen Lab estaba motivado por el dinero y señaló que el grupo ganó una beca de un millón de dólares una semana después de publicar un informe sobre las ventas de Hacking Team a Etiopía. “Su identidad es: ‘Soy el defensor de la libre expresión, soy el defensor de la libertad y la democracia’. Muy bien, entonces yo también lo soy. También lo es cada persona sensata”, dijo. Si a Citizen Lab realmente le importara el bien y el mal, comentó Vincenzetti, estaría combatiendo a China e Irán.

Casi inmediatamente después de que los documentos de Hacked Team aparecieran en internet fueron analizados por R3D, un grupo de defensa de los derechos digitales con sede en Ciudad de México. Luis Fernando García, el director de R3D, dice que la intimidación y la vigilancia en línea han aumentado durante la presidencia de Peña Nieto y se percató de eso cuando, en 2014, Citizen Lab publicó un informe que rastreaba una cadena de servidores asociados con Hacking Team que transfería información a través de Hong Kong, Londres, Ámsterdam y Atlanta antes de terminar en algún lugar de México. Entonces no se sabía exactamente quién estaba del otro lado del tránsito y qué estaban haciendo con esa información, pero el equipo de R3D reconoció que podía ser su oportunidad para averiguarlo.

Poco después, R3D publicó tres facturas provenientes de la filtración de Hacking Team en las que se demostraba que el gobierno del estado de Jalisco le había pagado a la empresa casi medio millón de euros por el Remote Control System. Pronto se encontraron otros documentos que implicaban a varios estados más, entre ellos Puebla, aunque la mayoría de los estados negaron haber utilizado el software (después Jalisco admitió haber comprado el sistema que, supuestamente, estaba destinado a la oficina del fiscal). La noticia no atrajo la atención de la prensa mexicana, excepto en Puebla, después de que R3D se conectó con Lado B, un pequeño colectivo de noticias en internet. El nombre del colectivo alude al reverso de un disco… lo cual simboliza su dedicación a contar historias que de otra manera no se revelarían.

Al editor de Lado B, Ernesto Aroche, no le sorprendió que el gobierno de Puebla usara el Remote Control System. En sus seis años de gobierno, Moreno Valle ha gastado desmesuradamente en nuevos sistemas de vigilancia, incluyendo varios “arcos de seguridad” que son estructuras de vigilancia ubicadas en carreteras que analizan el tránsito con cámaras de video y rayos X, y cuyo costo generó algunas preguntas en la prensa local. A inicios de 2013, Aroche empezó a notar que en el sitio web del estado de Puebla había solicitudes de cámaras ocultas y otros equipos de espionaje. Cuando pidió los registros públicos, el formulario de respuesta del gobierno indicaba que esas solicitudes jamás se habían llenado pero Aroche estaba escéptico, dada la creciente evidencia de que el gobierno de Moreno Valle había comenzado a utilizar sus mecanismos de seguridad con propósitos políticos.

Por ese entonces hubo robos en las casas de varios disidentes políticos y periodistas; a veces los ladrones se llevaban pocas cosas además de las computadoras portátiles de sus víctimas. Los políticos recibían llamadas de números desconocidos y escuchaban sus propias conversaciones grabadas. Otro periodista llamado Fernando Maldonado, recibió un sobre sin marcar lleno de lo que supuestamente eran las transcripciones de 400 llamadas privadas hechas por políticos poblanos.

Mientras Aroche y R3D revisaban los archivos filtrados de Hacked Team, descubrieron que los datos sobre Puebla tenían más detalles que los de otras cuentas mexicanas de Hacking Team. A menudo, el cliente de Puebla escribía correos electrónicos en los que pedía ayuda para infectar un documento en particular con un virus maligno. Algunos de estos mensajes provenían de una cuenta —soporteuiamx@gmail.com— que también aparece en muchas de las notas internas de Hacking Team. Una de esas notas documenta la petición de ayuda de un cliente para infectar un adjunto: una invitación para asistir a un evento de una organización política mexicana, firmada por Violeta Lagunes y dirigida a otro colega del partido contrario al gobernador.

Aroche entrevistó a políticos y periodistas que estaban del otro extremo de los correos infectados en los archivos de Hacked Team. De acuerdo con un artículo de 2015 que Lado B publicó con la colaboración de un sitio web de política, el grupo de Puebla le envió a Hacking Team por lo menos 47 peticiones para infectar archivos específicos que después le enviaron a sus víctimas. Casi todos esos documentos estaban relacionados con asuntos políticos. Revisando los materiales, Aroche encontró el nombre de un empleado del gobierno de Puebla que parecía estar trabajando dentro de la operación de espionaje. “Antes, habíamos estado hablando de fantasmas”, me dijo Aroche. “Ahora podíamos probarlo. Comenzamos a ponerle nombres a los participantes”.

Más de un año después, no hubo repercusiones políticas para el gobernador o sus aliados en Puebla. Me reuní con Aroche este otoño en la sede de Lado B, una pequeña oficina que está frente al patio de un viejo edificio construido en la época colonial de Puebla. La única insinuación de la presencia de Lado B era una pequeña calcomanía en la ventana. En su interior, Aroche estaba revisando un sobre de documentos que le había arrebatado al gobierno estatal. Dos contratos redactados y firmados por funcionarios mostraban un acuerdo entre el gobierno estatal y una empresa llamada Sym Servicios Integrales que los reportajes de Aroche habían identificado como un intermediario de Hacking Team. Los detalles de lo que había sido comprado estaban editados. “Estos contratos demuestran que el gobierno de Puebla tenía una relación comercial con esta empresa”, dijo Aroche. Sym Servicios Integrales dice que “jamás le vendió tecnología de HT al estado de Puebla”.

En una breve declaración escrita de Sagrario Conde Valerio, una portavoz, el gobierno de Puebla negó las acusaciones de espionaje y afirmó que “no hay ni jamás ha habido relación entre el gobierno de Puebla y la empresa Hacking Team”. El gobierno rechazó responder en detalle a una lista de preguntas.

Sin embargo, un exfuncionario del gobierno de Moreno Valle me dijo que cada año más de 1 millón de dólares se desviaban del presupuesto estatal para financiar la unidad de espionaje político. Documentos del archivo de Hacked Team indican que Hacking Team recibió un pedido del gobierno de Puebla por 415.000 euros en la primavera de 2013, y que Hacking Team reservó habitaciones de hotel para sus asociados que viajaron a Puebla en mayo de ese año.

También me dijeron que parte de la capacitación para el RCS se realizó en un edificio verde de una calle residencial. Cuando visité el lugar, un letrero en la puerta decía que el edificio había sido una institución educativa. Ahora tenía barras a lo largo de la puerta y ventanas reflejantes. Los vecinos me dijeron que había sido abandonado durante varios meses. “La gente viene y va”, dijo una mujer. “Fueron muy herméticos. Dejaban equipo, se llevaban equipo. Entonces un día, hace casi un año, vinieron y se llevaron todo”. Otro vecino dijo que a menudo veía un vehículo de la policía estatal estacionado frente a la casa y a un hombre cojo que entraba y salía… un exagente mexicano de inteligencia, según alguien que estuvo presente durante la capacitación de Hacking Team.

México es el mercado de exportación más grande de Hacking Team, pues suma casi seis millones de euros en ventas, según los documentos filtrados. Supuestamente, el Remote Control System está destinado a combatir criminales y tráfico de drogas. “Hay informes de que el software se utilizó en la detención del Chapo Guzmán, pero no puedo confirmarlo”, me dijo Rabe. Los archivos indican que por lo menos otros siete gobiernos estatales de México fueron clientes de Hacking Team, pero como no utilizaron el correo electrónico tanto como Puebla, sus actividades son más difíciles de rastrear. Varios exempleados de Hacking Team me dijeron que los abusos del software no se limitaban a Puebla. Un exempleado dijo que configuró el sistema dentro de la oficina de un alcalde.

Katitza Rodríguez, directora de derechos internacionales en la Electronic Frontier Foundation, dice que la ley mexicana permite interceptar comunicaciones como la vigilancia telefónica, pero no da autoridad legal para utilizar las nuevas y poderosas herramientas que crea Hacking Team. Además, argumenta que es mucho más peligroso en México que en otros países donde los controles y contrapesos son más fuertes. “Esto es mucho más intrusivo que interceptar una llamada”, dijo. “No solo están escuchando; están invadiendo tu laptop. México necesita tener un debate en el congreso acerca de qué salvaguardas jurídicas se necesitan para este tipo de vigilancia o si el gobierno debería utilizarla”.

Un edificio de Puebla que supuestamente se utilizó para los operativos de entrenamiento del software de Hacking Team. CreditDominic Bracco II/Prime para The New York Times

Los archivos indican que a mediados de 2015, Hacking Team abrió una filial estadounidense y alquiló oficinas en Reston, Virginia, a 20 minutos de la sede de la CIA. La empresa elaboró un “plan de acción estadounidense”, en el que hacía un llamado a una expansión significativa en Norteamérica, con nuevas contrataciones y fases de lanzamientos en el Departamento de Justicia, las fuerzas armadas de Estados Unidos y la Real Policía Montada de Canadá. Hacking Team también tenía en mente otro mercado potencialmente lucrativo: los gobiernos locales y estatales de Estados Unidos. Les habló del producto a las agencias del orden público en San Bernardino, California; Washington; Nueva York; Fort Lauderdale y Orlando. En una evaluación de riesgos comisionada por la empresa, los abogados dijeron que ese tipo de ventas probablemente eran legales, siempre y cuando el producto se vendiera “a cierta distancia” de las investigaciones reales y se utilizara “en el transcurso normal de las operaciones gubernamentales”.

Puede que la expansión estadounidense de empresas como Hacking Team no enfrente mucha resistencia del gobierno federal, que está aceptando la vigilancia electrónica como parte del trabajo policiaco normal. El año pasado, el Departamento de Justicia cambió con éxito las reglas del proceso criminal, lo que facilitó que los agentes federales puedan hackear varias computadoras con una sola orden. Steve Daines, senador de Montana, intentó bloquear el cambio y se quejó de que permite un “poder ilimitado para el hackeo ilimitado”. En un discurso de 2014, que ahora se conoce en los círculos de ciberseguridad como su discurso “oscuro”, James Comey, el director del FBI, argumentó que el cifrado incluido en los productos de Apple representaba una amenaza a la seguridad pública… porque no solo permitía el terrorismo, sino también el tráfico de drogas, abuso infantil y la posibilidad de fugarse después de cometer un crimen. En vez de tener una “caja de seguridad que no puede abrirse”, Comey quería que las empresas de tecnología le dieran la combinación. “La ley no le ha seguido el paso a la tecnología y esa desconexión ha creado un problema de seguridad pública significativo”, dijo Comey. “Lo llamamos ‘mantenerse oculto’”.

Mientras el gobierno estadounidense ha defendido protecciones más débiles para las comunicaciones personales, las empresas han estado propagando herramientas de vigilancia más poderosas en todo el mundo. Muchas agencias extranjeras del orden público ya le compran productos de vigilancia electrónica a SS8 —una empresa respaldada por la firma de capital de riesgo, Kleiner Perkins Caufield Byers— así como a Harris Corporation, una empresa de 13 mil millones de dólares con sede en Florida que cotiza en la Bolsa de Nueva York. Por lo menos 25 departamentos estadounidenses de policía han utilizado el dispositivo Stingray de Harris que imita a las antenas de telefonía móvil y puede interceptar llamadas de celular en un rango de 200 metros. Todas las ventas de Stingray a las agencias locales del orden público han sido autorizadas por el FBI, que desde entonces ha peleado en la corte para que esas transacciones sigan siendo secretas. Tan solo en Baltimore, se ha utilizado Stingray más de 4000 veces en investigaciones de rutina sobre drogas. Se conoce mucho menos sobre otro producto de Harris, el Hailstrom, que también se comercializa en los departamentos locales de policía. Según los informes, Hailstrom es capaz de implantar un programa maligno que puede controlar el celular de un objetivo, igual que el RCS de Hacking Team.

Los documentos de Hacked Team que ofrecen la perspectiva más reveladora de la ética de la empresa son los más públicos. Durante años, de dos a tres veces al día, Vincenzetti le envió correos masivos a cientos de sus contactos empresariales. Los destinatarios incluyeron a varios miembros de las fuerzas armadas estadounidenses y la comunidad de inteligencia, así como empleados gubernamentales de la ciudad de Cincinnati y el Servicio de Recaudación Interna. En esos mensajes, Vincenzetti se dirige a esta audiencia como “caballeros”. Las noticias a las que alude son un recordatorio de cómo los vientos geopolíticos han soplado a favor de Hacking Team y otros aliados que se llaman a sí mismos como empresas de la ley y el orden.

Como dijo George Tener sobre la inteligencia previa al 11 de septiembre, en el mundo de Vincenzetti el sistema siempre está “en alerta roja”: Medio Oriente se desmorona; Rusia, intranquila y con armas nucleares, además de los ejércitos de yihadistas entrenados por el Estado Islámico (EI) en toda Europa con sus dispositivos USB cifrados y conocimientos sobre la web oscura. Contrastadas con este contexto de peligro siempre latente, las preocupaciones sobre los derechos son ingenuas en el mejor de los casos.

Los correos de Vincenzetti aprovechan esta sensación de peligro y alarma. Escribe sobre sombrías pandillas de hackers iraníes que utilizan la etiqueta #JeSuisCharlie para inyectar programas malignos en las computadoras francesas. Celebra la sentencia condenatoria a Ross Ulbricht, también conocido como Dread Pirate Roberts, creador del sitio web Silk Road. Después de los arrestos de dos hombres de Uzbekistán en Brooklyn por decirle a unos informantes que querían unirse al EI, Vincenzetti escribe sobre “un complot terrorista muy grave frustrado en suelo estadounidense”.

Algunos de sus argumentos de venta son:

“Ha llegado el momento de tener una supervisión en internet tecnológicamente más sofisticada y mucho más efectiva… algo capaz de penetrar el núcleo de los foros terroristas OCULTOS. Y una tecnología así (de única) EXISTE”.

Otro día brindó más pistas:

“Estoy hablando de una NUEVA tecnología capaz de neutralizar las capas protectoras que dependen del cifrado para poder rastrearlos, identificarlos, ubicarlos, perseguirlos y, finalmente, atraparlos. Algo que opere a gran escala. Algo distinto. Estoy hablando de una tecnología de vigilancia masiva que sea nueva y superior, de próxima generación”.

El tono de la jerga de venta de Vincenzetti era extrañamente animado, en especial si se consideran sus funestas predicciones. Era casi como si estuviera en el negocio de vender hornos de microondas o emparedados, y no herramientas que permiten exponer por completo las vidas privadas de los criminales (o de quien sea).

La ecuación no declarada de Vincenzetti —la privacidad es opacidad y la opacidad es terrorismo— es menos controvertida de lo que parece. Un eco de apoyo a sus teorías puede escucharse en muchas de las declaraciones públicas de funcionarios estadounidenses que Vincenzetti suele cortar y pegar en sus correos masivos. Eric Holder, el exfiscal general, hizo un llamado a utilizar “herramientas penales y de investigación que nos permitan tomar acciones preventivas”. Cuando Comey advirtió que “el cifrado amenaza con llevarnos a todos a un lugar muy oscuro”, Vincenzetti reenvió esa frase junto al lema: “SÍ tenemos una solución para muchas, si no es que para todas estas preocupaciones”. Y cuando, en mayo de 2015, Comey advirtió sobre una “amenaza” que se había “transformado” en una “telaraña caótica”, Vincenzetti también se lo informó a sus “caballeros”.

Un mes más tarde, un hackeo anónimo reveló la telaraña invisible de Hacking Team y un año más tarde, durante el periodo previo al día de la elección, llegaron los correos internos del Partido Demócrata. Para ese entonces quedó claro que las herramientas de robo digital se habían propagado más allá de las manos de los funcionarios policiales. Comey había criticado las debilidades de la seguridad; Vincenzetti estaba vendiendo herramientas más fuertes. Podían utilizarse para atrapar a “Jimmy Page”, arrestar al Chapo Guzmán, combatir el crimen, desacreditar a un oponente político o tan solo mantener vigilado a alguien, sea quien sea.

Estar oculto es ser terrorista… ese era el núcleo del argumento de venta. Cualquier reducto digital que pudiera resistirse a ser revelado era un riesgo público y una oportunidad privada.

Mattathias Schwartz es reportero de seguridad nacional de The Intercept y colaborador de la revista. Su último artículo trató sobre el confuso papel de las fuentes pagadas en las investigaciones sobre terrorismo del FBI.