Los informes tras el hackeo del grupo de expertos de Hacking Team no paran de salir. Después de conocer que México era uno de sus clientes, y que incluso nuestro país fue el que más gastó en sus servicios, una serie de correos nos muestran que las organizaciones mexicanas encargadas de utilizar su software no tenían la total capacidad de hacerlo.
Los correos publicados por Wikileaks, y rescatados por Aristegui Noticias, indican que el Centro de Investigación y Seguridad Nacional (Cisen) era uno de los encargados de operar las herramientas de Hacking Team, pero lo hicieron sin las medidas de seguridad adecuadas para este tipo de trabajo.
El Cisen operó por cuatro años las herramientas sin firewall
En teoría el primer contrato que tuvo el Cisen con Hacking Team fue en el 2010. Según los correos existieron negociaciones entre ambas partes y el grupo de expertos presentó un paquete en el que se incluían todos los elementos para hacer uso correcto de las herramientas (hardware, software, y un firewall).
Sin embargo, Cisen, no contento con el precio de dicho paquete, pidió que le hicieran una rebaja, por lo que Hacking Team ofreció un paquete que sólo incluía el software de espionaje, sin el hardware y firewall. La organización mexicana accedió a dicha oferta y concretaron la compra a finales del mismo año, aunque meses después reclamaron los equipos de hardware, a lo que aún cuando no estaban contemplados en el contrato, Hacking Team accedió a proporcionarlos, pero sin el firewall.
Y fue hasta cuatro años después, sí cuatro años en los que el sistema de espionaje estuvo funcionando sin firewall, cuando Alex Velasco, Key Account Manager de Hacking Team, escribió un correo a un ingeniero de ventas de la misma empresa diciendo que el Cisen comentaba que sus herramientas no eran lo suficientemente seguras.
Lo más importante de esta conversación es que Alex Velasco estaba preocupado por los comentarios que realizaban en el Cisen, ya que ellos no contaban con un firewall para protegerse, y si sufrían un ataque, era inminente que culparían a Hacking Team y sus herramientas.
La traducción del correo de Alex Velasco que hacen pública en Aristegui Noticias es la siguiente:
Se comenta que el CISEN va por ahí diciendo que no somos un sistema seguro y Hacking Team es demasiado vulnerable. Les recuerdo que los registros indican que ellos todavía no han puesto su firewall.Lo he dicho antes y lo estoy diciendo de nuevo. TENEMOS QUE IR A PONERLES EL FIREWALL! Sé que no es nuestro trabajo, pero mi trabajo no es simplemente sentarme y dejar que un cliente destruya nuestra reputación sólo porque son demasiado estúpidos para instalar un firewall. Tenemos que reaccionar a esto porque puede ser el bloqueo de nuestras ventas en México. Un cliente infeliz y si no nos detenemos, se extenderá a los demás países.
De hecho la cadena de correos llega a apuntar que si el Cisen llegó a sufrir un ataque durante esos cuatro años en los que operaron las herramientas sin firewall, tal vez y nunca se dieron cuenta.
La inversión pudo haber sido un fracaso
Por otro lado, El Economista igual está haciendo eco a esta cadena de correos, aunque ellos han descubierto que la enorme inversión realizada por parte de la Segob fue un fracaso, todo por la baja tasa de éxito que tenía el software proporcionado por Hacking Team.
Y claro, en los mismos correos Hacking Team se atreve a decir que esa baja tasa de éxito del software es por falta de conocimiento de las personas que lo operan en el Cisen.
Principalmente Hacking Team se preocupaba de su imagen por la clase de cliente que significaba México. Como lo supimos días después del hackeo de la empresa, nuestro país fue, por un gran margen, el mayor cliente de servicios de la firma italiana, así que si perdían el contrato con Cisen temían a que otras organizaciones —y estados— dejarían de comprar sus herramientas.
Parece mínima la situación del manejo adecuado de este software, pero el que la gente de Hacking Team se haya alarmado más que el Centro de Investigación y Seguridad Nacional por la instalación de un firewall —que incluso era para la protección de la misma organización—, es para preocuparse.
Imagen | Bruno Pedrozo (Wikimedia Commons).
#/media/File:Firewall.png){kind=link}
Ver 11 comentarios