Así funciona el Sistema de Control Remoto que vende Hacking Team

Hacker

Hacker

Foto referencial: La empresa utiliza una red de servidores, encriptación de datos y redes informáticas de anonimato como parte del Sistema de Control Remoto (RCS, por sus siglas en inglés).

Un software para el refuerzo de la justicia. Es lo que la empresa italiana de software de seguridad Hacking Team ofrecía a sus clientes a escala mundial. Lo concebía como una herramienta para reforzar el trabajo de las instituciones encargadas de hacer cumplir la Ley.

La empresa utiliza una red de servidores, encriptación de datos y redes informáticas de anonimato como parte del Sistema de Control Remoto (RCS, por sus siglas en inglés).

El RCS puede prender la cámara y tomar fotos, activar el micrófono y grabar audios, sacar capturas de pantalla de los chats de Whatsapp, acceder a los documentos y contactos. 74 gobiernos y agencias gubernamentales adquirieron ese software, según los documentos de Hacking Team que fueron filtrados hace una semana.

La empresa italiana fue ‘hackeada’ y se publicaron más de 400 gigas de información, que incluyen e-mails, documentos, facturas, órdenes de compra y bases de datos. Los correos electrónicos fueron publicados en un buscador Wikileaks, creado por Julián Assange, hoy asilado en la Embajada de
Ecuador en Londres.

El funcionamiento de RCS

La información filtrada revela la manera en que el RCS, llamado también ‘Da Vinci’ o ‘Galileo’, funcionaba, pues contiene los manuales, pro formas y detalles de las actualizaciones, además de los precios y los detalles de los equipos necesarios para que funcione.

El RCS no discrimina qué datos son relevantes o no, o qué usuarios incumplen qué leyes en qué países; esto deben hacerlo quienes contratan sus servicios. De hecho, Hacking Team prepara manuales para diferentes perfiles de usuario de su plataforma: analistas, administradores, técnicos y operadores. Esta red de usuarios es definida por el cliente, encargado de establecer los objetivos que va a investigar.

La cadena de intercepción comienza con los operadores del RCS. Ellos deben definir el perfil de la persona cuyos datos serán interceptados; este perfil incluye sus computadores, celulares y red de contactos.

Definido el blanco, estos operadores se encargan de solicitar la elaboración de un ‘agente de infección’ a un servidor maestro. Este servidor debe generar también el ‘vector de infección’, es decir, la forma en que el agente de infección interceptará los dispositivos que serán blanco del ataque.

Un vector de infección puede transmitir el agente respectivo a un computador de diferentes maneras; en esta forma, su comportamiento es muy similar al de un virus informático. Las principales formas de infección ocurren a través del contacto de un computador con un dispositivo de almacenamiento (una memoria USB, por ejemplo). Otra forma de infección es la apertura de archivos adjuntos en e-mails.

Hacking Team utiliza también un tercer método: inyectores de red. Son dispositivos físicos alojados entre varios proveedores de Internet, que se encargan de interceptar el tráfico web hacia sitios de video, y reemplazar ese tráfico con códigos de infección.

Hasta diciembre del 2014, este método podía ser utilizado incluso interceptando las visitas que cualquier blanco hubiera realizado a YouTube. Tras varios reportes sobre este tipo de ataques, este sitio estableció un sistema de seguridad en la transferencia de sus datos que impidió a Hacking Team seguir utilizándolo como foco de infección. Sin embargo, otros sitios de transmisión de video siguen siendo utilizados, entre ellos, algunos de pornografía.

En el servidor maestro también se almacena todo lo que Hacking Team denomina ‘evidencia’: grabaciones de voz realizadas desde un teléfono infectado, grabaciones de conversaciones por Skype, chats y mensajes enviados por redes sociales, correos electrónicos, historial de visitas en sitios web, claves utilizadas en los navegadores de Internet...

El ataque al usuario

Una vez que este servidor ha generado un vector y un agente de infección, los operadores deben enviar esto a una red de servidores, denominados Recolectores. Esta es la red que tiene contacto con Internet; se podría decir que es una red de intermediarios entre el Servidor Maestro y los computadores del blanco que será atacado. Así, el Servidor Maestro nunca ‘da la cara’ a Internet. Estos servidores están protegidos por una red de ‘anonimización’, que se encarga de enmascarar la procedencia de los vectores.

Estos vectores de infección pueden transmitirse a los principales sistemas operativos. En el caso de computadores, la infección podía correr en plataformas Windows, OSX y Linux; en teléfonos móviles, los sitemas operativos Symbian, Android y Blackberry eran los más vulnerables.

Para teléfonos con Windows, Hacking Team indica que se necesita acceder físicamente al teléfono y obtener certificados informáticos del mismo. En el caso de iPhones o iPads, la infección es posible solo en dispositivos con Jailbreak, método utilizado para vulnerar la licencia otorgada por Apple, que suele aplicarse para instalar aplicaciones sin pagarlas.

En contexto

Hacking Team no ha confirmado ni negado la veracidad de los documentos filtrados. A través de un comunicado, David Vincenzetti, director de Operaciones, dijo que la Policía italiana está investigando y que están preparando una nueva versión del RCS, que saldrá en otoño.

Suplementos digitales