Los ‘troyanos policiales’ no son legales (pero lo serán)

La reforma de la Ley de Enjuiciamiento Criminal habilitará el uso de estas herramientas de forma expresa por parte de las fuerzas de seguridad del Estado, siempre mediante orden judicial. Pero a día de hoy su uso no está regulado por la ley.

keyboard-254582_1920
Imagen: Pixabay

Esta semana ha sido noticia que la empresa italiana Hacking Team, conocida por ser una de las principales proveedoras de spyware a empresas y gobiernos, sufrió una ciberintrusión con el resultado de la publicación de 400 GB de datos internos. A raíz de los mismos se desprende que, al menos, la Policía Nacional y el Centro Nacional de Inteligencia (CNI) han comprado [PDF] su sistema de vigilancia remota. La reforma de la Ley de Enjuiciamiento Criminal [PDF] habilitará el uso de estas herramientas de forma expresa por parte de las fuerzas de seguridad del Estado, siempre mediante orden judicial. Pero a día de hoy su uso no está regulado por la ley.

El producto estrella de Hacking Team es el sistema de control remoto (Remote Control System o RCS), un paquete de malware que permite a quien lo maneje infiltrarse en ordenadores y teléfonos móviles para controlar las comunicaciones por e-mail, servicios de mensajería como WhatsApp o de llamadas como Skype.

Hasta la fecha se desconoce si la Policía -cuyo contrato con Hacking Team expiró hace tiempo- o el CNI han llegado a utilizar dichos virus informáticos para realizar labores de vigilancia. No obstante, su uso puede acarrear problemas legales para las fuerzas y servicios de seguridad del Estado.

En España, la intervención de las comunicaciones debe ser autorizada por el juez dado que afecta al derecho fundamental al secreto de las comunicaciones recogido en el articulo 18.3 de la Constitución.

“Técnicamente un juez puede autorizar el uso de ‘troyanos’, pero eso no lo he visto jamás”, apunta el abogado especializado en nuevas tecnologías Carlos Sánchez Almeida. “No creo que suceda sin habilitación legal”, apunta, y añade: “Un juez tiene que redactar un auto motivado, y para ello tiene que haber normativa”.

La reforma de la Ley de Enjuiciamiento Criminal, actualmente en el Senado, prevé regular precisamente el uso de ‘troyanos’ para investigar ordenadores de forma remota, un instrumento que demandaban desde hace tiempo policías y fiscales.

‘Troyanos’ en la ley

Concretamente, el artículo 588 septies a) habilita, previa autorización judicial, la instalación de software espía “que permita, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos”.

El texto prevé dicha habilitación para una serie de delitos, entre ellos de terrorismo, los cometidos en el seno de organizaciones criminales, contra menores, contra la Constitución, los relativos a la defensa nacional y los “delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación o servicio de comunicación”.

¿Pueden la Policía y el CNI comprar este tipo de software? Responde el abogado: “Pueden comprarlo si es para estudiar su funcionamiento. Pero si lo quieren utilizar, es necesaria una autorización judicial y la existencia de una ley orgánica que habilite su empleo”.

Según este experto, el hecho de que la normativa abra la puerta al uso de malware por parte de las fuerzas de seguridad del Estado puede acarrear otros problemas. “Este tipo de sistemas de vigilancia deberían de ser auditados y homologados”, comenta Almeida, quien destaca que en el caso de software como el de Hacking Team estos programas “suelen tener un origen bastante oscuro”.

La reforma de la Ley de Enjuiciamiento Criminal se encuentra en estos momentos en la recta final de su tramitación parlamentaria, y la normativa entrará en vigor previsiblemente en el último trimestre de este año.


También en EL ESPAÑOL: CNI, Defensa, Guardia Civil y Policía contactaron con Hacking Team para controlar teléfonos

CNI, Defensa, Guardia Civil y Policía contactaron con Hacking Team para controlar teléfonos

1330175894999952163

Hacking Team era uno de los diez contratistas de ciberdefensa más importantes de Europa. Y todos los equipos de Información de los Cuerpos y Fuerzas de Seguridad españoles se interesaron por sus servicios. Algunos como el Centro Nacional de Inteligencia, lo utilizaron para pinchar teléfonos desde 2010. Los correos electrónicos robados a la compañía revelan como el CNI tuvo que cambiar su sistema de navegación anónima el año pasado al verlo comprometido.

Hacking Team era uno de los diez contratistas de ciberdefensa más importantes de Europa. Y todos los equipos de Información de los Cuerpos y Fuerzas de Seguridad españoles se interesaron por sus servicios. Algunos como el Centro Nacional de Inteligencia, lo utilizaron para pinchar teléfonos desde 2010. Los correos electrónicos robados a la compañía revelan como el CNI tuvo que cambiar su sistema de navegación anónima el año pasado al verlo comprometido.

La empresa italiana Haking Team está especializada en horadar teléfonos móviles y sistemas informáticos. Y vendía sus productos a los principales servicios de inteligencia del planeta. En España, el Centro Nacional de Inteligencia (CNI) pagó 67.500 euros en 2010 para contratar un software espía. Un programa capaz de infiltrar terminales móviles de forma anónima y extraer todos sus datos. Pero no fue el único. Según la documentación liberada el pasado lunes tras un ataque informático sufrido por la compañía, también los equipos de inteligencia de la Policía Nacional, la Guardia Civil y el Ejército de Tierra se interesaron por las herramientas de hackeo ofrecidas por Hacking Team, uno de los principales contratistas europeos del sector.

Consultados por EL ESPAÑOL,  agentes de los distintos cuerpos recuerdan que este tipo de contactos están dentro de la normalidad en el trabajo policial: “Lo preocupante no es si nosotros hacemos uso de estas herramientas, ya que lo hacemos bajo mandamiento judicial y en la lucha contra el crimen, sino para qué lo compran empresas o grandes corporaciones”, recuerda uno de los expertos consultados. “Hay una docena de compañías europeas con el nivel de esta. Y otras dos o tres que están por encima. Es completamente normal que estos proveedores ofrezcan sus servicios a la policía y a los centros de inteligencia y que vengan a hacer demostraciones”, mantienen otras fuentes.

Tras las consultas y según la contabilidad de la empresa, solo una institución española -el Centro Nacional de Inteligencia- contrató sus servicios para extraer datos telefónicos. Los documentos internos de Hacking Team reflejan pagos de la inteligencia española al menos desde 2007, cuando el dinero del CNI era transferido a la cuenta que Hacking Team tenía en Unicredit. Al parecer, lo pagos cesaron en 2011. Pero los datos no concuerdan. Aunque no existen facturas filtradas posteriores a esta fecha -la contabilidad de la empresa se ha hecho pública hasta hace dos meses-, los correos electrónicos de la compañía demuestran que el sistema de infiltración telefónica utilizado por el CNI -que se cobraba por una iguala anual de 67.500 euros- seguía operativo en 2014.

Sistema comprometido

“Sergio, el otro día comentamos la posiblidad de que nos facilitarais dos nuevos proxys  ya que los que estabamos usando hasta ahora se han podido ver comprometidos; de hecho tenemos el servicio caído, además nos comentaste que en esta semana saldría una nueva versión, con más hincapié en la seguridad”. Quien así habla es A. R. agente del Centro Nacional de Inteligencia, que pide asistencia técnica sobre el funcionamiento del software.

Al otro lado de la línea, Hacking Team tenía una veintena de empleados. Y entre a Sergio Rodríguez, un ingeniero español encargado de la mayoría de los clientes de habla hispana. Además, la empresa  contaba con un colaborador en España: un empresario de tecnología llamado Javier Tsang, responsable de la firma Tylostec. El 26 de noviembre de 2014, ambos reflejan en un correo electrónico filtrado ahora su intención de reunirse con los responsables del Mando Conjunto de Ciberdefensa, el organismo encargado de la coordinación de seguridad informática dentro del ámbito militar. Los responsables militares estaban interesados también en infiltrar teléfonos móviles con un troyano. “Recuerda: siendo una demo primera para un cliente nuevo, se infecta lo que yo lleve”, explica el correo.

En la mayoría de los casos, los hombres de Hacking Team prefieren quedar con los clientes en sus instalaciones de Milán, ya que, por cuestiones de seguridad, la legislación internacional sobre la venta de armas no les permite sacar sus productos de Italia sin autorización expresa.  Esto mismo explicaban los responsables de la firma de seguridad a los agentes de la Policía Nacional en un correo enviado el pasado mes de febrero: “Nos ponemos en contacto con usted para comunicarle que, debido al Acuerdo de Wassenaar, Hacking Team no está autorizada a exportar fuera de Italia ningún sistema -ni siquiera para demostración- que pueda ser utilizado en operaciones reales”.  Al final, la Policía Nacional no utilizó sus servicios. Los encargados de evaluar la oferta los consideraron caros. Algo similar sucedió con la benemérita.

Respuestas

Hacking Team ha tardado 48 horas en proporcionar las primeras explicaciones  sobre su gran brecha de seguridad. Su portavoz, Eric Rabe, comentó al sitio especializado MotherBoard que la ciberintrusión fue “muy sofisticada” y realizada, probablemente, por personas “con gran experiencia”. “No creemos que fue alguien cualquiera”, comento Rabe, que apunta a una “organización” criminal e incluso a un gobierno. “Es difícil de saber”, dijo. La compañía ha pedido a sus clientes que no utilicen sus productos hasta una nueva actualización de sus sistemas, en una fecha no revelada.

El domingo, el mismo sitio contactó con un hacker llamado PhineasFisher que se atribuyó este ataque y otro anterior contra la compañía  de vigilancia online Gamma International, que comercializa el controvertido spyware FinFicher. El propio PhineasFisher ya ha anunciado que desvelará cómo Hacking Team fue hackeado.

https://twitter.com/GammaGroupPR/status/618250515198181376

La ciberguerra de Obama

El Secretario de Defensa estadounidense, Ashton Carter, presentó hace pocos días la nueva Estrategia de Ciberseguridad del Pentágono. Titulado ‘The DoD Cyber strategy’, este documento de 33 páginas reemplaza a la estrategia de 2011 pretende trazar el camino y los objetivos en materia cibernética por el Departamento de Defensa.

cyber1
Equipo de ciberdefensa de la Ohio National Guard. (Foto: Sgt. George B. Davis)

El pasado jueves día 23 de Abril, el secretario de Defensa estadounidense, Ashton Carter, presentó la nueva Estrategia de Ciberseguridad del Pentágono. Titulado ‘The DoD Cyber strategy’, este breve documento de 33 páginas que reemplaza a la estrategia de 2011 pretende trazar el camino y los objetivos en materia cibernética del Departamento de Defensa.

Se trata del primer trabajo de estas características en plantear que Washington podrá llevar a cabo actos de ciberguerra en los conflictos futuros, al afirmar que Estados Unidos “…debe ser capaz de recurrir a las ciberoperaciones con el objetivo de disrumpir las redes de mando y control, infraestructuras críticas o sistemas de armas de los potenciales adversarios del país”.

Igualmente, también recuerda que las ciberoperaciones se integrarán plenamente en el planeamiento y conducción de las operaciones militares conjuntas, tanto para apoyar a las actuaciones del Ejército de Tierra, la Armada y la Fuerza Aérea como de manera independiente.

Además, esta estrategia pretende guiar el desarrollo, articulación y despliegue del ejército cibernético estadounidense que, compuesto por 6.200 efectivos divididos en 133 equipos, se encargará de las siguientes tres misiones: defender las redes, sistemas e información del Pentágono; defender a Estados Unidos y sus intereses frente a cualquier ciberataque; y proporcionar –siempre bajo la autoridad presidencial– las capacidades cibernéticas necesarias para apoyar tanto los planes de contingencia en respuesta a crisis como a la conducción de operaciones militares conjuntas.

Paradójicamente, aunque esta estrategia proporciona algunas ideas acerca de cómo se podría utilizar el elemento cibernético en las operaciones militares y comienza a codificar cómo podría llevarse a cabo la disuasión en esta materia, el concepto de “capacidades ofensivas” solamente se explicita en dos ocasiones en todo el documento.

Además, también establece cinco objetivos estratégicos para la fuerza cibernética estadounidense:

  1. Desarrollar y disponer de una fuerza capaz de conducir todas las misiones en el ciberespacio que sean necesarias (desde defensa a explotación y ataque, pasando por inteligencia o disuasión.
  2. Defender las redes de información y comunicaciones del Pentágono, a la vez que se garantiza su seguridad de la información.
  3. Defender el territorio estadounidense y los intereses vitales del país de cualquier ciberataque que, procedente de un estado o de un actor no estatal con capacidades cibernéticas avanzadas, pueda alterar el normal funcionamiento del país o degradar las capacidades de sus fuerzas armadas.
  4. Desarrollar y mantener opciones militares en el ámbito cibernético que permitan controlar la escalada del conflicto, así como forzar una resolución del mismo según los intereses del país.
  5. Desarrollar tanto alianzas como compromisos internacionales que permitan controlar las amenazas compartidas e incrementar la seguridad y estabilidad mundiales.

Es interesante destacar que esta estrategia pone un gran énfasis en el desarrollo de la industria cibernética nacional, considerada como un pilar fundamental para seguir manteniendo la supremacía militar y la hegemonía política en este campo, en la disuasión y en la capacidad de respuesta frente a ciberataques.

La industria cibernética nacional es considerada como un pilar fundamental para seguir manteniendo la supremacía militar y la hegemonía política

Para ello, los esfuerzos del Pentágono se dirigirán hacia el desarrollo de capacidades de atribución para descubrir quién es el actor que se esconde tras un ciberataque con el fin de dirigir la respuesta hacia él; y hacia el incremento de la resiliencia de las redes militares del país para garantizar que ningún ciberataque puede dejar completamente inoperativos los sistemas de mando del país o sus sistemas de armas.

Además, también hace especial referencia a la colaboración público-privada en materia de compartición de inteligencia e información de los ciberataques, con el fin de facilitar su conocimiento y apoyar a la atribución.

La OTAN y la UE, a un lado

Igualmente, es muy destacable comentar que Estados Unidos, en consonancia con su compromiso de un Internet más seguro, democrático y abierto, incrementará la colaboración internacional con los actores clave, tanto al reforzar la ya existente en el marco de los Five Eyes – Estados Unidos, Canadá, Gran Bretaña, Australia y Nueva Zelanda – como especialmente con los aliados de Washington en Oriente Medio, Asia Pacífico o actores clave de la Alianza Atlántica.

Esta afirmación es especialmente relevante, ya que el Pentágono considera que muchos países de la OTAN no sólo no son considerados clave debido a su continuada carencia de capacidades cibernéticas y limitada voluntad para dotarse de ellas; sino que también entiende que la Alianza Atlántica –o la Unión Europea, irrelevante en materia cibernética– no es el marco escogido por Washington para tratar estos asuntos estratégicos con sus socios europeos.

El Pentágono debe ser el actor encargado de coordinar la construcción de las cibercapacidades a nivel conjunto

Otro elemento relevante de la estrategia es que el Pentágono debe ser el actor encargado de coordinar la construcción de las cibercapacidades de forma conjunta, puesto que todavía muchos de los sistemas, plataformas y herramientas cibernéticas ya obsoletas y que no están lo suficientemente integradas al depender del Ejército de Tierra, la Armada y la Fuerza Aérea. Ello hace necesario invertir en arquitecturas plenamente interoperables y escalables que permitan ser desplegadas y empleadas en una amplia gama de operaciones, y en apoyo también a los mandos combatientes.

La integración de las capacidades cibernéticas en el planeamiento militar también requerirá realizar importantes mejoras en las tecnologías de mando y control para las ciberoperaciones, a la vez que se priorizará el modelado, la simulación y el desarrollo de tecnologías para mejorar la rápida detección de ciberamenazas, la resiliencia de las redes y la de los sistemas de armas o recuperación de datos.

Por último, la integración y desarrollo de esta estrategia cibernética del Departamento de Defensa se realizará en el marco de la iniciativa de innovación en defensa. Ésta es el pilar de la denominada tercera estrategia de compensación, que pretende potenciar la investigación básica y aplicada, la cooperación de la industria y la atracción de expertos para mantener la supremacía militar y cibernética frente a cualquier potencial adversario, presente y futuro.

Consulte el documento completo

[pdfjs-viewer url=http://2q2ad02pehur1wobow1wbxv3.wpengine.netdna-cdn.com/wp-content/uploads/2015/04/2015_DoD_CYBER_STRATEGY.pdf viewer_width=100% viewer_height=480px fullscreen=false download=false print=true openfile=false]

Enrique Fojón y Guillem Colom son miembros de THIBER.