Marcha atrás en la Ley Torquemada

REUTERS

Los agentes encubiertos no podrán hacer uso libremente de material ilícito en sus pesquisas en internet. El Senado pule uno de los puntos más polémicos de la futura norma.

 

REUTERS
Imagen de un centro de datos. (Reuters)

La reforma de la Ley de Enjuiciamiento Criminal afina, tras su paso por el Senado (PDF), el control en lo que respecta a las investigaciones de los delitos informáticos. Con la nueva redacción, el agente encubierto en Internet necesitará “autorización específica” para poder intercambiar “por sí mismo” archivos ilícitos por su contenido.

A tres meses de las elecciones generales, y gracias a una enmienda transaccional en la Cámara Alta, el texto de la reforma llega con un refuerzo de las garantías procesales, sobre todo en lo que toca a las investigaciones en las que se utilizan nuevas tecnologías (agentes encubiertos online, troyanos policiales de vigilancia, etc.).

Esta norma fija, por primera vez de forma exhaustiva, bajo qué criterios se pueden intervenir comunicaciones electrónicas y utilizar nuevas herramientas digitales, siempre con autorización judicial.

En la última versión del texto se ha restringido la amplitud con la que se había redactado el precepto inicial, que decía literalmente: “El agente encubierto electrónico podrá intercambiar o enviar por sí mismo archivos ilícitos, siendo posible en tal caso el análisis de los algoritmos asociados a dichos archivos”.

Al ser tan amplio, dicho precepto podría haber abarcado cualquier tipo de comportamiento en la Red, como por ejemplo el intercambio de material pedófilo, y existía el riesgo de que el agente encubierto incurriera en una incitación al delito, lo que hubiera sido inconstitucional.

“Autorización especifica”

Ahora, la enmienda introduce en la redacción del articulo 282 bis 6 la obligación de que exista “una autorización especifica” para que dicho agente encubierto pueda intercambiar material ilícito en internet.

De forma más amplia, la reforma -que no en vano se refiere a “la regulación de las medidas de investigación tecnológica”- obligará a los agentes a detallar al juez qué datos se persigue recabar, mediante qué instrumentos y qué duración tendrá la medida.

Según el abogado Carlos Sánchez Almeida, “hay que congratularse por este cambio introducido por el Senado, en la medida que la exigencia de autorización judicial específica para compartir archivos ilícitos aumenta las garantías procesales y evita la posibilidad de delitos provocados”. “No obstante”, añade dicho letrado especializado en internet y nuevas tecnologías, “la reforma en su conjunto es muy dura en materia de delitos informáticos, que se equiparan procesalmente a los casos de terrorismo y delincuencia organizada”.

Otros puntos polémicos de esta ley

Detención incomunicada (art. 509): Se mantiene la posibilidad de que el juez decrete prisión incomunicada durante un máximo de cinco días, prorrogables a otros cinco (en total, 10) “cuando se trata de causas por delitos de terrorismo o delincuencia organizada”. Éstos últimos, según la norma, son los “cometidos concertadamente y de forma organizada por dos o más personas”.

Instalación de troyanos (art. 588 septies a): Se habilita el uso de programas espías para registrar de forma remota ordenadores o sistemas informáticos. Se podrá utilizar este tipo de herramienta, naturalmente sin conocimiento del afectado, en investigaciones de delitos de terrorismo -el Código Penal considera como “terrorismo” filtraciones o difusión de consignas en internet-, contra menores, contra la Constitución y cualquier delito cometido “a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación o servicio de comunicación”.

Instalación de dispositivos de localización (art. 588 quiquies b): La norma prevé habilitar a los agentes para colocar dispositivos secretos de localización sin autorización judicial previa, pero siempre que “concurran razones de urgencia que hagan razonablemente temer que de no colocarse inmediatamente el dispositivo o medio técnico de seguimiento y localización se frustrará la investigación”. Después se establece un plazo máximo de 24 horas para que el juez ratifique o acuerde el cese de la medida.

Las ‘penas de telediario’ (art. 520 1): Una de las disposiciones más mediáticas de la reforma de esta ley contempla adoptar las “medidas necesarias para asegurar el respeto a los derechos constitucionales al honor, intimidad e imagen” de los afectados tanto en el momento de su detención como en traslados ulteriores. Se trata de evitar imágenes como las del cogotazo a Rodrigo Rato o la detención de Isabel Pantoja, por poner dos casos recientes con gran impacto en la opinión pública. Tras su paso por el Senado, el texto queda muy matizado al incluir “el respeto al derecho fundamental a la libertad de información”, por lo que es probable que sigamos viendo imágenes de personajes públicos acompañados por los agentes.

También en EL ESPAÑOL: Las ‘leyes mordaza’ ya están aquí

Más de 100 empleados públicos españoles usaron Ashley Madison desde su puesto de trabajo

grafico2-am

Las direcciones filtradas pertenecen a organismos como el Ministerio del Interior, el Ministerio de Defensa, el Senado o el Consejo de Seguridad Nacional. Decenas de empleados de comunidades autónomas, diputaciones y ayuntamientos se registraron en el portal de contactos desde la administración.

  • Las direcciones filtradas pertenecen a organismos como el Ministerio del Interior, Ministerio de Defensa, el Consejo de Seguridad Nacional y el Senado
  • Decenas de empleados de comunidades autónomas, diputaciones y ayuntamientos se registraron en el portal de contactos desde la administración

Más de 100 funcionarios y empleados públicos españoles utilizaron recursos del Estado para registrarse en Ashley Madison. Este colectivo utilizó una dirección de correo electrónico oficial y la conexión a Internet de la institución pública en la que trabajan para darse de alta en el sitio de contactos. Así lo revela el análisis pormenorizado de la base de datos de 10 gigabytes filtrada por el grupo The Impact Team con la información de cerca de 37 millones de usuarios registrados en todo el mundo.

La Unidad de Datos de EL ESPAÑOL ha hecho un análisis detallado de las direcciones de correo oficiales asociadas a dominios “.es” y “.cat” para comprobar el uso que se ha hecho de Ashley Madison desde empresas, organismos e instituciones de titularidad pública a nivel estatal, autonómico y local.

Esta página web de contactos no verifica las direcciones de correo electrónico que registran sus usuarios. Pero el análisis de cada cuenta junto con la dirección IP gubernamental que se utilizó en el proceso de alta permite conocer el uso realizado desde las instituciones públicas. Una IP es un conjunto de números que identifica a nivel global cualquier dispositivo conectado a Internet de manera única. Sin tener en consideración esta verificación de la IP, el número de cuentas de correo asociadas a instituciones públicas españolas registradas en Ashley Madison eleva las inscripciones hasta más de 600 perfiles.

grafico1-am

Hay al menos 40 instituciones desde donde se registraron empleados y funcionarios públicos con un correo electrónico oficial y utilizando la conexión a Internet de la administración correspondiente.  En esa lista hay nueve ministerios, nueve comunidades autónomas, cinco diputaciones, más de una docena de ayuntamientos y nueve empresas con una participación pública superior al 50%. Cerca del 95% de los perfiles asociados a estas cuentas dicen ser hombres.

También aparecen otros organismos estratégicos. El Consejo de Seguridad Nacional, creado por Rajoy el 2013 como máximo órgano gestor de la seguridad del Estado, cuenta con cinco perfiles registrados a través de una IP asociada a este organismo. Entre ellos, uno asociado a un correo del Consejo de Seguridad Nuclear, el organismo encargado de velar por la seguridad de las centrales nucleares españolas.

La institución del Defensor del Pueblo, los Puertos del Estado o el Instituto Nacional de Técnica Aeroespacial (INTA) también están presentes en esta lista. Algunos de sus miembros aparecen registrados en la base de datos de Ashley Madison con su cuenta de correo electrónico y desde la IP de la institución. 

EL ESPAÑOL ha decidido no publicar los datos personales ni cualquier otra información de los empleados y funcionarios públicos por respeto a su intimidad.

grafico2-am

El Ministerio de Defensa es uno de los organismos del Estado con mayor número de usuarios registrados en Ashley Madison con casi una veintena de perfiles. Existen cuentas asociadas a correos electrónicos de los tres ejércitos y de la operativa del propio ministerio que utilizaron su dirección y la conexión de Defensa para este fin. Le sigue el Ministerio de Interior con conexiones desde diferentes departamentos, entre los que destaca la Dirección General de la Policía. Los demás ministerios desde los que se han registrado perfiles en la página de contactos son Empleo, Sanidad, Agricultura, Hacienda, Justicia, Fomento e Industria. Hasta 33 perfiles fueron creados por personal que utilizó los recursos públicos facilitados por estos organismos.

A nivel autonómico destacan la Junta de Andalucía y la Generalitat valenciana con más de una decena de cuentas seguidas de las comunidades de Murcia, Aragón, Navarra, Galicia, Cataluña, Madrid y Ceuta. También destacan ayuntamientos como Madrid, Barcelona, La Coruña o Badajoz así como las diputaciones de provincias como Granada o Valencia. El tipo de tarea que desempeñan algunas de estas personas en sus respectivas administraciones es muy variado. Hay directores de área o departamento pero también funcionarios auxiliares.

En la base de datos filtrada no sólo encontramos organismos oficiales como ministerios o ayuntamientos. También hay una decena de cuentas registradas bajo correos oficiales de empresas públicas como RTVE, Renfe y Adif. Estos perfiles se registraron en Ashley Madison desde la conexión a Internet de la institución y utilizando el correo electrónico del trabajo.

Ligando desde el trabajo

Además del centenar que usaron la red y correo corporativo de un organismo público, al menos 2.600 perfiles de Ashley Madison se han registrado en la página web utilizando otras cuentas de correos desde la conexión a Internet de la institución pública a la que pertenecen.

EL ESPAÑOL ha realizado un ejercicio de búsqueda inversa para localizar en la base de datos filtrada por el grupo The Impact Team los rangos de direcciones de conexión a Internet (IP) de una gran parte de las instituciones públicas españolas. De esta forma, se ha localizado a usuarios que hicieron el proceso de registro en Ashley Madison con direcciones de correo personales (Gmail o Hotmail) pero desde la red de la administración.

Esta cifra no incluye todos los altos cargos, funcionarios o empleados públicos que utilizaron su puesto de trabajo en la administración para navegar por la web de contactos pero permite mostrar una estimación aproximada.

En este grupo de usuarios destacan cerca de 600 perfiles asociados en el proceso de alta a una dirección IP de la Junta de Andalucía, unos 500 perfiles desde la Generalitat catalana, cerca de 300 desde la red de la Generalitat valenciana y unos 130 desde la Comunidad de Madrid. Le siguen 150 perfiles que se conectaron desde la Xunta de Galicia y el mismo número desde el Ministerio de Defensa. Otros ministerios con perfiles registrados desde sus redes son Educación, Sanidad y Agricultura.

El análisis también revela que cerca de 50 usuarios se registraron en Ashley Madison desde direcciones IP que pertenecen a la Dirección General de la Policía. Hay 70 perfiles asociados al Ayuntamiento de Madrid, 34 del Ayuntamiento de Barcelona, 13 perfiles desde el Congreso, 10 desde el Senado y cuatro desde el Consejo del Poder Judicial, entre otros organismos e instituciones.

Políticos con perfiles falsos

Entre las direcciones de correo filtradas por The Impact Team se encuentran algunas de políticos españoles.

Un análisis elaborado por EL ESPAÑOL revela que se trata de una usurpación de sus cuentas oficiales aprovechando que Ashley Madison no dispone de un mecanismo de verificación del correo. Este hecho ha posibilitado que en los últimos días algunas de estas cuentas hayan aparecido en redes sociales como si fueran legítimas.

Entre las más destacadas aparecen cinco cuentas de diputados del Congreso registradas desde Argentina y Perú así como perfiles que se inscribieron simulando una posible cuenta en La Moncloa de los tres últimos presidentes del gobierno: José María Aznar, José Luis Rodríguez Zapatero y Mariano Rajoy.

Podemos ocultó el ‘pucherazo’ en Alicante y expedientó a los consejeros denunciantes

pablo--660x371

La dirección de Podemos silenció durante tres meses el posible pucherazo en las primarias municipales de Alicante y lejos de investigar la posible manipulación del censo, abrió expediente a los denunciantes. Según ha podido confirmar EL ESPAÑOL, las primeras pruebas sobre las conversaciones que hablan de alterar el curso de las votaciones -y que ponen en cuestión el método empleado por la formación en toda España- fueron trasladadas de forma verbal a la dirección del partido el pasado mes de marzo. Sin embargo, la investigación oficial se abrió tres meses después, solo cuando las conversaciones saltaron a la prensa. 

Los ‘pisos francos’ de Podemos en Alicante 

pablo--660x371

La dirección de Podemos silenció durante tres meses el posible pucherazo en las primarias municipales de Alicante y lejos de investigar la posible manipulación del censo, expedientó a los denunciantes. Según ha podido confirmar EL ESPAÑOL, las primeras pruebas sobre las conversaciones que hablan de alterar el curso de las votaciones -y que ponen en cuestión el método empleado por la formación en toda España- fueron trasladadas de forma verbal a la dirección del partido el pasado mes de marzo. Sin embargo, la investigación oficial sobre el caso se abrió tres meses después, solo cuando las conversaciones sobre el presunto amaño de las elecciones saltaron a la prensa.  

El pasado 21 de marzo, tres meses antes de que estallara el caso, Podemos realizó un encuentro intercomarcal de círculos en las instalaciones de la Universidad de Alicante. Y allí, miembros críticos de la candidatura Sí Se Puede -avalada por Pablo Iglesias- hicieron llegar de forma extraoficial su preocupación por la presunta manipulación del censo. El mensaje fue trasmitido directamente a Antonio Montiel, diputado autonómico y cabeza de lista de Podemos en la Comunidad Valenciana.

Según ha confirmado EL ESPAÑOL, Montiel recibió entonces y en los días posteriores -tanto por vía telefónica como por correo electrónico- explicaciones de cómo miembros de la candidatura oficialista habrían inscrito a familiares y amigos en direcciones ficticias de Alicante para recibir sus votos. Además, los consejeros críticos alertaron a Montiel de que -según su versión- los responsables del Consejo Ciudadano planeaban manipular las actas de sus reuniones e incumplir con ello los estatutos de Podemos.

Denuncias y castigo

La falta de investigación por parte de la dirección del partido -sumada a la confrontación con el resto de los consejeros por la forma de integrarse en la marca Guanyem- supuso la dimisión pública de cuatro miembros del Consejo Ciudadano de Alicante: Pau González, Juan Carlos Reoio, Magdalena Díaz y Jesús Naranjo, que fueron acusados por sus compañeros de filtrar información a la prensa. Los cuatro dejaron públicamente su cargo el pasado 3 de abril y una semana después explicaron sus razones en una asamblea local de Podemos.

Dos semanas más tarde, exactamente el 19 de abril de 2015 y tras la conversación con el líder autonómico de Podemos, el Consejo de Coordinación de la Comunidad Valenciana comunicó de forma oficial la apertura de un expediente sancionador. Pero los afectados no eran quienes intentaron inscribir a sus familiares en Alicante para recibir sus votos, sino quienes denunciaron a sus superiores el amaño.

El documento -enviado por la dirección del partido en la Comunidad Valenciana- abre un expediente sancionador a ocho personas. Ocho militantes de Podemos entre los que se encuentra la cabeza de lista de la candidatura crítica, Nerea Belmonte -actual concejala del ayuntamiento de Alicante- dos de sus compañeros y los cuatro miembros díscolos de la lista avalada por Pablo Iglesias en Alicante. El documento les sanciona entre otras cosas por criticar “abiertamente la gestión” del Consejo Ciudadano y por “realizar acusaciones, justificadas o no” contra ese organismo:

screenshot-{domain} {date} {time} (19)

La siguiente fecha clave es el pasado 17 de junio, cuando los miembros críticos con el Consejo Ciudadano hacen llegar el dossier completo de las conversaciones sobre el posible pucherazo a Llum Quiñonero, cabeza de lista de Podemos para las autonómicas en Alicante. Según ha confirmado EL ESPAÑOL, esta es la primera vez que los miembros de la directiva de Podemos tienen acceso a las conversaciones completas sobre el uso de “pisos francos” para las elecciones. El objetivo de la filtración, según fuentes cercanas a la misma, fue que los mensajes fueran elevados a la dirección del partido y trasladados a la Comisión de Garantías para su estudio, terminado ya el período electoral de las autonómicas. Pero tampoco sucedió.

Cuatro días después y ante el inmovilismo de la dirección del partido, las conversaciones vieron la luz en el diario Información. Acto seguido, los portavoces de Podemos se apresuraron a anunciar la apertura de un expediente sancionador contra 12 integrantes de la lista avalada por Pablo Iglesias para las primarias municipales. Entre ellos está el actual secretario general de Podemos en Alicante, Jesús Bustos y la parlamentaria autonómica Covadonga Peremach.

El anuncio se hizo en la sede de las Cortes Valencianas por boca de Antonio Montiel, que negó entonces conocer el posible amaño, pese a que había sido informado de forma textual tres meses antes. Además, la reunión real de la Comisión de Garantías se realizó casi dos semanas después del anuncio público; exactamente el 9 de julio, tal y como refleja el acta oficial del encuentro:

Ashley Madison created thousands of fake profiles to get more money from its users

grafico1-2

At least 71.618 fake profiles of the Canada-based online dating service Ashley Madison were created from e-mail addresses linked to the company owning the service between 2011 and 2015. 89% of those profiles correspond to women.

At least 71.618 fake profiles of the Canada-based online dating service Ashley Madison were created from e-mail addresses linked to the company owning the service between 2011 and 2015. 89% of those profiles correspond to women. These accounts are associated to the domains ALMLABS.COM, AVIDLIFEMEDIA.COM y ASHLEYMADISON.COM, registered by Avid Life Media, the company based in Canada that owns Ashley Madison.

english1

In Spain there are 1,899 profiles associated to e-mail accounts from this domain. 93% of them are female profiles. 40% were created in one go in May 2013. That summer, the company also broadcast ads on TV. Ashley Madison’s income went from €2,500 in the first six months of 2013 to €50,000 in the last six months, according to our analysis of the leaked transactions.

english2

EL ESPAÑOL’s Data Team has drawn up a detailed analysis of the first leak of 10GB of data, uncovered by The Impact Team. The content of the database contains around 37 million entries with personal user information and business transactions.

EL ESPAÑOL has decided not publish the nicknames, credit card details or personal data of any of the real users of the Canadian company out of respect for their privacy.

An Italian in Móstoles

Few cases better reflect Ashley Madison’s false identity strategy than that of the user identified on the website with the nickname ‘ella2912353’. According to the data set leaked by The Impact Team, this account was created with the e-mail address ‘host@almlabs.com’. The profile, which is still active, claims to be that of a 44-year old woman living in Móstoles (Madrid). But the images of the user are really photos of the Italian soloist Cristina Scabbia, who sings with the band Lacuna Coil, and can be easily found online. There are 15,739 profiles on Ashley Madison associated to the same e-mail address.

ashly_captura

Other profiles associated to this domain include a nickname together with a false user. The profile labelled “Linda084”, for example, is linked to the e-mail address “stella+linda084@almlabs.com”. Up to 4.921 profiles that use these aliases are linked to just 81 nicknames. This behaviour follows a regular pattern for managing many e-mail accounts in a simple manner. On receiving a message, the recipient very quickly identifies the source or the profile from which he is receiving the messages. The profiles associated to that type of e-mail address with an alias are no longer active but the entries have not been deleted from the database, and nor have the user accounts who paid for the service.

According to a report on Canadian TV, a former employee of Ashley Madison called Doriana Silva sued the company in 2014 alleging wrist and forearm damage after having to create more than 1,000 female profiles in 2011. The company counter-sued Silva in the same year for revealing corporate information when she presented the profiles she had created as proof. Ashley Madison is claiming $100,000 in damages, arguing those profiles are “quality assurance” to check the “consistency and reliability” of the site before launching the Brazilian version in 2011.

In the database leaked by The Impact Team, there are nine profiles linked to the e-mail address ‘doriana.silva@avidlifemedia.com’ and two linked to ‘doriana@almlabs.com’: one (created in March 2011), for a 65-year old man who lives in Toronto and the other (created in June of the same year), for a 45-year old woman living in Melbourne.

Ashley Madison does not verify user e-mail addresses when they register for the site, so the appearance of an e-mail in the database does not mean the person who owns the account joined of his or her own account.

Ashley Madison’s terms and conditions do include a clause that specifies they may create false profiles to encourage user participation. In those false profiles, though, at no point is it mentioned that they were created to that end. In this way, registered users cannot know if contacts they make on the site or the messages they receive are from fictitious accounts.

As soon as he creates an account on Ashley Madison, a man who expresses a preference for women begins to get messages from female profiles of doubtful origin, at the rate of approximately one a week, according to our analysis. To be able to interact with the women who appear in those profiles and even to read one of their messages, the man must pay, using a payment system to purchase credits that can be exchanged for messages. There are three packages: the €273,90 version includes 1,000 credits, the €163,90 version 500 credits and the cheapest version at €53,90 gets 100 credits.

In March 2015, Ashley Madison was accused of sending messages to its paying users via false profiles. The company’s CEO, Noel Biderman, denied the accusations.

4,400 Paying Users

In Spain, there are 4,400 e-mail addresses linked to business transactions that were made on the website between 2008 and June 2015. Fewer than 100 of these accounts are identified as women.

Ashley Madison generated around €660,000 income from accounts linked to Spain. The company made more than 169 million dollars between 2011 and 2014 worldwide.

The profile that spent most money on Ashley Madison from Spain corresponds to a 44-year old man purchasing from Barcelona. He spent more than €5,000 across 17 payments between February and November 2014. He is not the only one. At least 27 accounts linked to Spain spent more than €1,000 in total. They are all identified as men on the website.

Women As Advertising

Despite Ashley Madison’s ad campaigns, largely oriented towards a female audience, analysis of the leaked database reveals that only 7.4% of profiles identified as women. In Spain, the percentage is even lower: 4.8%.

In the summer of 2011, Ashley Madison was a big story thanks to ad campaigns that included photos of King Juan Carlos, Prince Charles and Bill Clinton. A few months later, in February 2012, they did another campaign with a photo of Queen Sofía. Despite the media attention, the number of registered users and turnover did not increase in line with coverage of their campaigns.

The main website uses women as bait to attract customers. Most of the six profiles (between four and six) suggested to a user on visiting Ashley Madison are women. If the sample were more representative, only one woman should appear, and then only from time to time.

Ashley Madison declined to comment either on the data leak or on how its business works when contacted by EL ESPAÑOL.

Traducción: Matthew Bennett

Así creó Ashley Madison miles de cuentas falsas para sacar más dinero a sus usuarios

grafico1-2

Al menos 71.618 perfiles fueron creados desde direcciones de correo vinculadas a Ashley Madison entre julio de 2011 y julio de 2015. El 89% de esos perfiles corresponden a mujeres.

Aquí puedes leer esta exclusiva en inglés:

    Al menos 71.618 perfiles fueron creados desde direcciones de correo vinculadas a Ashley Madison entre julio de 2011 y julio de 2015. El 89% de esos perfiles corresponden a mujeres. Estas cuentas están asociadas a los dominios  ALMLABS.COM, AVIDLIFEMEDIA.COM y ASHLEYMADISON.COM, registrados por Avid Life Media, la empresa con sede en Canadá que es la propietaria de Ashley Madison.
    grafico1-2

    En España hay 1.899 perfiles asociados a cuentas de correo de estos dominios. El 93% son perfiles femeninos. El 40% fueron creados de una sola tacada durante el mes de mayo de 2013. Durante ese verano, la empresa emitió también anuncios en televisión. Ashley Madison pasó de ingresar unos 2.500 euros en los seis primeros meses de 2013 a generar unos 50.000 en los seis últimos, según el análisis de las transacciones filtradas.

    grafico2-1

    La Unidad de Datos de EL ESPAÑOL ha elaborado un análisis detallado de la primera filtración de 10 gigabytes de datos, destapada por el grupo The Impact Team. El contenido de esta base de datos incluye unos 37 millones de registros con información personal de los usuarios y con sus transacciones económicas.

    EL ESPAÑOL ha decidido no publicar ni los nicknames ni las tarjetas de crédito ni los datos personales de ninguno de los usuarios reales de la empresa canadiense por respeto a su intimidad.

    Una italiana de Móstoles

    Pocos casos reflejan mejor la estrategia de identidades falsas de Ashley Madison que el del usuario que se identifica en la web con el nickname ‘ella2912353’. Según la base de datos filtrada por The Impact Team, esta cuenta se registró con la dirección de correo electrónico ‘host@almlabs.com’. Este perfil, que continúa activo, dice vivir en Móstoles y tener 44 años. Pero las imágenes del usuario se corresponden con fotografías de la cantante Cristina Scabbia, solista del grupo italiano Lacuna Coil, y se pueden encontrar fácilmente en Internet. Hay 15.739 perfiles en Ashley Madison asociados a esa misma dirección.

    “Busco la química, la pasión y una conexión verdadera”, escribe quien redactó el perfil falso ‘ella2912353’, que se identifica como una mujer que pesa 55 kilos y mide 1,68. “Algo que se quede a medias de eso, no vale mi tiempo”, prosigue. “No quiero aparecer como una diva aquí. Sólo soy una mujer atractiva y segura que está harta de leer cientos de correos electrónicos sin interés por día. Dime algo listo. Demuéstrame algo de personalidad y despertarás mi interés”.

    ashly_captura

    Otros perfiles asociados a este dominio incluyen un nombre de pila junto al nombre del usuario falso. Por ejemplo, el usuario “Linda084” está vinculado al correo “stella+linda084@almlabs.com”. Hasta 4.927 perfiles que usan estos alias están ligados a 81 nombres de pila. Esta forma de actuar sigue un patrón habitual a la hora de gestionar de forma sencilla muchas cuentas de correo electrónico. Al recibir un mensaje, el receptor identifica muy deprisa la fuente o el perfil desde el que recibe los mensajes. Hoy los perfiles asociados a estos tipos de correos con alias ya no se encuentran activos pero sus registros no han sido borrados de la base de datos.

    Según la televisión canadiense, la ex empleada de Ashley Madison Doriana Silva denunció a la empresa en 2014 alegando que se había dañado las muñecas y antebrazos al tener que escribir más de 1.000 perfiles femeninos falsos durante 2011. La empresa demandó a su vez a Silva en 2014 por revelar información de la empresa al presentar como prueba los perfiles que había escrito. Ashley Madison le reclama 100.000 dólares por daños y perjuicios. Argumenta que esos perfiles son “pruebas de calidad” para comprobar la “consistencia y la fiabilidad” del sitio a la hora de lanzar la versión brasileña en 2011.

    En la base de datos filtrada por The Impact Team sólo aparecen nueve perfiles asociados a la cuenta ‘doriana.silva@avidlifemedia.com’ y otros dos a “doriana@almlabs.com“: uno de un hombre de 65 años que reside en Toronto y que se creó en marzo de 2011 y otro creado en junio de ese mismo año de una mujer de 45 años que vive en Melbourne.

    Ashley Madison no verifica los correos electrónicos de los usuarios que se inscriben en su página. Que el nombre de una persona aparezca en las bases de datos no quiere decir que la persona detrás de esa cuenta se haya apuntado por su propia iniciativa.

    Las condiciones de uso de Ashley Madison sí incluyen una cláusula que especifica que pueden crear perfiles falsos para fomentar la participación de los usuarios. En esos perfiles falsos no se dice en ningún momento que se hayan creado con ese fin. De esta manera, los usuarios registrados no pueden saber si los contactos que hacen en la página o los mensajes que reciben llegan de este tipo de cuentas ficticias.

    Nada más crear la cuenta en Ashley Madison, un hombre al que le interesan las mujeres empieza a recibir mensajes de perfiles femeninos de dudosa identidad. Más o menos uno al día, según pudo comprobar este periódico. Para poder interactuar con las mujeres que aparecen en esos perfiles e incluso para leer uno de sus mensajes, es necesario pasar antes  por caja. Así lo indica una pasarela de pago donde se adquieren lo que la página denomina créditos, que se canjean por mensajes. Existen tres paquetes: el de 273,90 euros incluye 1.000 créditos y el de 163,90 euros da acceso a 500. El más barato incluye 100 créditos y requiere pagar 53,90 euros.

    En marzo de 2015, Ashley Madison fue acusada de enviar mensajes a sus usuarios de pago por medio de perfiles falsos. El consejero delegado de la empresa, Noel Biderman, rechazó estas acusaciones.

    4.400 usuarios de pago

    En España hay unas 4.400 cuentas de correo electrónico asociadas a transacciones económicas que se han hecho desde la página web de contactos desde 2008 hasta junio de 2015. Menos de 100 de estas cuentas se identifican como mujeres.

    El análisis de los pagos filtrados muestra cómo Ashley Madison ingresó desde cuentas asociadas a España al menos 660.000 dólares. A nivel mundial, estos datos se elevan hasta más de 169 millones de dólares entre 2011 y 2014.

    El perfil que más gastó en Ashley Madison desde España corresponde a un hombre que fija su edad en 44 años y que hace las transacciones desde Barcelona. La suma de sus compras asciende a casi 5.000 euros repartidos en 17 pagos entre febrero y noviembre de 2014. No es el único. Al menos 27 cuentas asociadas a España superan los 1.000 euros de gasto total. Todas se identifican como hombres en la página web.

    Las mujeres como reclamo

    A pesar de las campañas de publicidad de Ashley Madison, orientadas en su mayoría al público femenino, el análisis de la base de datos filtrada revela que el 14% de los usuarios declararon ser mujeres. En España ese porcentaje es aún menor: apenas el 9%.

    Durante el verano de 2011, Ashley Madison consiguió relevancia mediática gracias a campañas donde incluía imágenes del Rey Juan Carlos I, de Carlos de Inglaterra y de Bill Clinton. Unos meses después, en febrero de 2012, hizo otra campaña con la imagen de la Reina Sofía. A pesar de este revuelo mediático, el número de inscritos en el portal y su facturación no tuvo un crecimiento similar al de su presencia en los medios.

    La página principal utiliza el reclamo de las mujeres para atraer clientes. La mayoría de los seis perfiles que se le sugieren al usuario al abrir Ashley Madison son perfiles de mujeres.

    Según ha podido comprobar EL ESPAÑOL, entre cuatro y seis. Si la muestra fuera representativa, debería aparecer solo una mujer. Ashley Madison no ha querido realizar ninguna declaración a este periódico ni sobre la filtración de sus datos ni sobre el funcionamiento de la empresa.

    Aquí puedes leer esta exclusiva en inglés:

    Un polémico email de Cook a la CNBC neutraliza el crash (-13%) de Apple

    Dará que hablar. Tim Cook, consejero delegado de Apple, envía una carta a Jim Cramer, gestor de ‘hedge fund’ y showman televisivo de la CNBC, en la que reafirma las previsiones de la compañía sobre su negocio en China. La información contenida en el email dio la vuelta a la cotización de Apple, que sufría un severo desplome, pero se saltó los cauces de comunicación oficiales a través del supervisor SEC.

    Tim Cook.
    Tim Cook.

    Lo nunca visto. Ni el crash de China, ni el del petróleo. Apple, la mayor compañía del mundo en bolsa, se ha convertido por accidente en la protagonista del lunes. Su colosal tamaño -más de 600.000 millones de dólares de capitalización, que equivale a más del 20% del Nasdaq- ha activado el modo pánico en Wall Street antes de la apertura, arrastrando con ella al resto del sector tecnológico como Google, Amazon o Twitter.

    Su acción abrió con un desplome del 13% por los interrogantes sobre su negocio en China, después de que la mayor economía del mundo haya devaluado su moneda por tres veces. Las dudas no son triviales: allí vende más iPhones que en Europa y se ha convertido en el motor principal del crecimiento de la empresa. La película, sin embargo, dio un brusco giro por la entrada en escena del consejero delegado de Apple que llevó a la acción a darse la vuelta y subir un 2% a media sesión, aunque terminó cerrando con un caída del 2,5%.

    Una carta con información privilegiada

    A Tim Cook no se le ha ocurrido otra cosa que enviar un email a Jim Cramer, el showman financiero de la CNBC, reafirmando las perspectivas de negocio de la empresa y desmintiendo cualquier tipo de problema en China. Al revés, va mejor de lo previsto. Lo sorprendente ha sido la manera de comunicar al mercado y a los inversores que todo va bien, que el plan de negocio va según lo previsto y que no hay nada que temer.

    De forma insólita, Cook ha ignorado los cauces de comunicación oficiales a través de la SEC, el supervisor bursátil de EEUU. Se ha saltado también a su propio equipo de comunicación y ha buscado a una figura influyente, como Cramer, para responder a las dudas que tenían los grandes fondos de inversión sobre la tecnológica. En el correo, el directivo confirma que las ventas de iPhones van por buen camino y que la descarga de aplicaciones a través de la Appstore vive el mejor momento de su historia este verano.



     

    En suma, el email de Cook ha puesto coto no solo a las pérdidas de Apple, considerado uno de los valores refugio del mercado, sino también a las bolsas estadounidenses, que comenzaron a recuperarse al mismo ritmo que el creador del iPhone. De una caída inicial superior al 6,1%, el Nasdaq Composite, índice de referencia del sector tecnológico, pasó a ceder apenas un 2%. Buenas noticias para los inversores, pero malas para el propio Cook. A buen seguro que la SEC habrá tomado buena nota de la filtración de datos y previsiones con el tertuliano e inversor profesional Jim Cramer.

    Por qué no es verdad que los hombres son más infieles

    Parejas

    La filtración de los datos de la web Ashley Madison ha demostrado que los mitos mandan al hablar de la infidelidad. Ningún estudio científico avala la tesis de que los varones sean más proclives a engañar a sus parejas. 

    Parejas

    Son casi 10 GB de datos y oro en polvo para buscadores de escándalos y exclusivas. Pero a la hora de interpretar los datos robados a la web de citas Ashley Madison, hay que tener cuidado. Como muchas otras informaciones sobre la infidelidad, sus cifras pueden llevar a equívocos.

    Uno de los datos que más llama la atención en un primer vistazo apoya uno de los mitos más extendidos en torno a este asunto: que los hombres son más infieles que las mujeres. Son varones más del 80% de los supuestos usuarios del portal (su identidad está lejos de haber sido confirmada).

    Un segundo análisis lleva a una interpretación muy distinta. Mientras un 18,2% de los perfiles que ha rellenado la casilla de sus preferencias sexuales corresponde a mujeres casadas que buscan hombres, solo un 6,1% son varones casados en busca de una aventura extramarital con otra mujer. Así, según estos datos, serían las mujeres las más interesadas en ser infieles.

    A photo illustration shows the Ashley Madison website displayed on a smartphone in Toronto

    Sin embargo, la ciencia no avala ninguna de las dos hipótesis. Aunque existen estadísticas sobre todo sociológicas de porcentajes de infidelidad por género, esas cifras son muy dispares y tienen una fiabilidad cuestionable. La gran mayoría de las últimas difundidas en España son estudios encargados por portales de citas similares a Ashley Madison, por compañías fabricantes de preservativos y juguetes sexuales o por laboratorios farmacéuticos dueños de fármacos para la disfunción sexual eréctil.

    Los datos aparentemente más fiables sobre infidelidad por género en España se remontan a una encuesta del Centro de Investigaciones Sociológicas (CIS) de 1995. Entonces confesaba haber sido infiel el 46% de los varones españoles. Sólo el 17% de las españolas respondía a la misma pregunta que sí.

    Un trabajo mucho más reciente, realizado por la firma demoscópica Ipsos en 2014 para el portal de encuentros extraconyugales Gleeden, afirma que un 35% de los hombres ha sido infiel a su pareja frente a un 26% de las mujeres.

    Una encuesta española citada por el psicólogo argentino Javier Martín Camacho en su libro Fidelidad e infidelidad en las relaciones de pareja señala, por el contrario, una tendencia opuesta, en la que el 67% de las mujeres son infieles frente a un 52% de los hombres.

    Disparidad en los números

    Este baile de cifras confirma que no hay datos que avalen un mayor predominio de la infidelidad conyugal en hombres o mujeres. “No hay estudios rigurosos ni evidencia científica que permitan establecer una afirmación”, dice a EL ESPAÑOL el médico Vicente Bataller, presidente de Sexólogos Sin Fronteras. “Yo creo que históricamente la mujer ha sido más discreta a la hora de cometer infidelidades porque estaba peor visto en su género”.

    En EEUU existe más de evidencia científica al respecto, aunque también basada en encuestas. Uno de los estudios más completos, citado por el New York Times en 2008, es de David Atkins, profesor de la Universidad de Washington.

    Atkins demostró que la infidelidad había aumentado considerablemente en 15 años sobre la base de los resultados de la Encuesta Social General, un sondeo similar a la Encuesta Nacional de Sanidad que se lleva a cabo en España y que en cambio no pregunta sobre la infidelidad.

    El 20% de los hombres mayores de 60 años declaraba haber sido infiel alguna vez en su vida en 1991 mientras la cifra se elevaba al 28% en 2006. La subida era aún mayor entre las mujeres. Sólo un 5% de la misma edad afirmaba haber engañado a su pareja en su vida en 1991 mientras en 2006 lo había hecho el 15%.

    “Las diferencias en fidelidad se pueden deber más a las presiones culturales que a una distinción real en las conductas sexuales. Los hombres con muchas parejas se suelen percibir como viriles mientras que las mujeres en la misma situación son consideradas promiscuas. Además, históricamente las féminas han vivido aisladas en granjas o en casa con los niños, lo que les ha dado menos oportunidades para ser infieles”, explicaba el investigador en el mismo artículo.

    ¿La hormona del infiel?

    En 2008, un estudio con más de 1.000 participantes pareció dar soporte científico a los que apuntaban a un porcentaje mayor de infidelidad masculina. Publicado en el PNAS, una prestigiosa revista de la Academia Nacional de Ciencias de EEUU, un investigador del Instituto Karolinska de Suecia demostró que la presencia de dos copias de una variante genética presente en los hombres -el alelo 334- se asociaba a más problemas maritales incluyendo un mayor riesgo de infidelidad.

    Sin embargo, el propio autor principal señaló a Efe que la influencia de los niveles de la hormona vasopresina -la que regula el gen en cuestión- en las relaciones sociales es “modesta” e insuficiente para predecir de forma exacta el comportamiento futuro de un hombre en una relación de pareja.

    Para quien no hubiera escuchado esa parte del mensaje, la ciencia volvió a cuestionar la evidencia siete años después. En 2014 otro trabajo, también nórdico, publicado en la revista Evolution & Human Behaviour afirmaba haber descubierto nuevas variantes genéticas asociadas, esta vez, con la infidelidad femenina.

    Por lo tanto, ni genes ni comportamiento social. Estamos lejos de saber qué género es más infiel. No tenemos suficientes datos para conocer la respuesta.

    Foto: Russell Lee / The Library of Congress

    Ashley Madison, ¿víctima o responsable?

    A photo illustration shows the Ashley Madison website displayed on a smartphone in Toronto

    ¿Son los supuestos y misteriosos miembros de Impact Team unos activistas que se preocupan por la moralidad y la seguridad de los usuarios o son los responsables de una extorsión en toda regla? ¿Es la matriz de Ashley Madison, la compañía canadiense Avid Life Media, una víctima del ataque o la que ha fallado estrepitosamente en la custodia de los datos más sensibles de sus clientes, que confiaban en su supuesta “seguridad al 100%”?

    Con la filtración de información de millones y millones de cuentas de la red social Ashley Madison se ha destapado una cantidad ingente de datos personales -muchos de ellos comprobados como reales– cuyos dueños confiaban en la discreción del servicio. La acción, reivindicada por un oscuro grupo autodenominado Impact Team, ha acaparado la atención mundial, en parte debido a la naturaleza de los datos expuestos: el objetivo que publicita esta red social es facilitar la infidelidad.

    En un comunicado, Avid Life Media, sociedad matriz del portal, afirmaba esta semana: “Este evento no es un acto de hacktivismo, es un acto criminal, es una acción ilegal contra los miembros individuales de Ashley Madison, así como contra cualquier empresa que libremente elige participar en actividades en línea totalmente legales”. “El criminal o criminales que participan en este acto se han nombrado a sí mismos jueces, jurados y verdugos de la moralidad […] No vamos a permitir a estos ladrones que impongan su ideología personal sobre ciudadanos de todo el mundo”.

    En el otro extremo, los hackers razonaban de otro modo. “¿Se encuentra usted en esta lista?”, pregunta Impact Team a los usuarios que ha colocado bajo el foco publico. Y añade: “Fue Avid Life Media quien le falló y le mintió. Demande y reclame daños y perjuicios. Luego siga adelante con su vida. Aprenda la lección y haga las paces. Será vergonzoso ahora, pero lo superará”.

    La información que se puede encontrar en los 9,7 GB de datos filtrados inicialmente (habrá muchos más; en una entrevista los miembros de Impact Team aseguran tener hasta 300 GB de datos internos de la compañía, decenas de miles de fotos ‘íntimas’ de usuarios, contenidos de chats…) profundiza en multitud de detalles personales. La lista es interminable: supuestos nombres, direcciones postales, transacciones con fecha y cantidad, algunas geolocalizaciones, hábitos personales y, de forma extremadamente pormenorizada, las costumbres y tendencias sexuales. Todo ello proporcionado a Ashley Madison por los clientes de la red social.

    Suponiendo que toda esa información sea auténtica, “estamos hablando de datos especialmente protegidos, como son las preferencias sexuales”, comenta el abogado especializado en internet Carlos Sánchez Almeida. Efectivamente, en España la Ley Orgánica de Protección de Datos (LOPD) otorga a la información sobre la vida sexual un rango de especial protección.

    La letra pequeña

    Como en todo servicio, existen unos Términos de Uso que el cliente acepta al darse de alta (pocos los leen, por cierto) y que en el caso de Ashley Madison no garantiza que la información que se proporciona o que ellos recopilan no será divulgada a terceros. Es una especie de salvaguardia frente a las filtraciones.

    Samuel Parra y Verónica Alarcón, socios del bufete ePrivacidad, afirman: “En los Términos de Uso una empresa puede poner lo que quiera, pero cualquier tipo de cláusula que sea contraria a la ley se entenderá por no puesta; y algo es contrario a la ley no sólo cuando ésta lo prohíbe, sino también cuando la ley te obliga a hacer algo y tú pactas lo contrario sin cobertura legal”.

    “Esto significa , en el caso de Ashley, que esa cláusula concreta en la que dice que no garantiza que la información no vaya a ser divulgada a terceros no la exime de responsabilidad”, añaden. Y concluyen: “Esa cláusula, como si no existiera”.

    ¿Y la responsabilidad?

    Por la vía administrativa: Almeida sostiene que, aunque pudiera existir una infracción de la LOPD, la Agencia de Protección de Datos “poco o nada puede hacer” contra la matriz de Ashley Madison, situada en Canadá. Samuel Parra, sin embargo, no está de acuerdo: “Ashley Madison tiene la obligación y responsabilidad de mantener seguros los datos personales de sus clientes/usuarios; en España, el tema de la seguridad de los datos personales es una obligación legal para cualquier empresa, ya que así lo indica el artículo 9 de la LOPD”.

    Recuerda el experto que la compañía tiene oficinas en Nicosia (Chipre), “que es, de hecho, donde se ocupan de la privacidad”. “Un ciudadano español no solo podría exigir responsabilidad por la filtración sino también solicitar a la AEPD que se bloquee el acceso al sitio o sitios web donde han colgado la información personal ilícita extraída”, comenta.

    Parra asegura que “Ashley Madison debería hacer todo lo que estuviera en su mano para evitar que terceros no autorizados puedan acceder a la información y en estos casos se suele entender que es una obligación de resultado, de forma que, si al final se difunden datos, se podría entender que no hizo todo lo que estaba en su mano, aunque habría que ver exactamente cómo consiguieron los intrusos esa base de datos”. A su juicio, “esta compañía tendría una responsabilidad administrativa desde el punto de vista de la legislación sobre protección de datos en el caso de que se le aplicasen las leyes españolas”.

    Algo parecido le sucedió a la empresa tecnológica Arsys, que en 2007 sufrió un ciberataque que comprometió datos bancarios, teléfonos y domicilios de miles de usuarios españoles. La compañía fue multada por Protección de Datos precisamente por incumplir su deber de custodiar de dicha información.

    Por la vía civil: La compañía también podría enfrentarse a una acción civil (o varias), aunque sólo en Canadá. Almeida sostiene que esta acción podría materializarse en una class action o acción colectiva, en la que varios afectados se unen y contratan a un gabinete especializado que lleve su caso.

    Por la vía penal: Según Almeida, penalmente sólo se puede actuar contra el o los hackers, es decir, contra el autor de la filtración, salvo que Canadá contemple como delito la negligencia en la custodia de los datos.

    En este sentido, Samuel Parra recuerda que “la responsabilidad de los ciberintrusos es de naturaleza distinta: según la información disponible ahora mismo sobre la intrusión, ellos pueden haber cometido un delito de revelación de secretos tipificado en los artículos 197.2 y 197.3 del Código Penal español, con penas de prisión de hasta cinco años”.

    Lex Luthor, el narco de Los Pollos Hermanos y un malo de culebrón, señuelos de Hacking Team

    wallpaper

    Son villanos de ficción. Y los nombres utilizados por los ingenieros de Hacking Team para crear identidades operativas; señuelos con los que demostrar el funcionamiento de sus programas para atacar ordenadores. Los ingenieros de la compañía abrieron cuentas en Facebook, Twitter o Gmail a nombre de Lex Luthor, Gustavo Fringe y un villano de telenovela inspirado en “El Chapo” Guzmán.  

    Son villanos de ficción. Y los nombres utilizados por los ingenieros de Hacking Team para crear identidades operativas; señuelos con los que demostrar el funcionamiento de sus programas para atacar ordenadores. Los ingenieros de la compañía abrieron cuentas en Facebook, Twitter o Gmail a nombre de Lex Luthor, Gustavo Fringe y un villano de telenovela inspirado en “El Chapo” Guzmán.

    “Identidad criminal: Gustavo Fringe. Cargo: Responsable y fundador de Los Pollos Hermanos. Profesion: Trafica con metanfetamina de cárteles mexicanos y fabrica su propia mercancía”.

    La información parece sacada de la ficha en Wikipedia de uno de los principales personajes de la serie televisiva Breaking Bad: el traficante chileno que movía su droga bajo una cadena de comida rápida, Los Pollos Hermanos. Pero en realidad, la frase está sacada del archivo que los informáticos de la empresa de seguridad Hacking Team elaboraron para las demostraciones -como funcionaban sus programas para atacar ordenadores- llevadas a cabo ante sus clientes, entre los que se encontraban los principales servicios secretos del planeta.

    El documento, creado el 29 de septiembre de 2014 y publicado la pasada semana junto a otros 400 gigas de datos confidenciales robados a Hacking Team, refleja “información sobre la identidad criminal de Sergio [uno de los ingenieros de la empresa] usada en su cadena de demostraciones”. Y muestra el usuario y las contraseñas de distintas cuentas de Gmail, Facebook, Twitter, Skype, Apple, Microsoft y Blackberry. Cuentas abiertas a nombre de Gustavo Fringe, el traficante de ficción. La información de la identidad operativa se completa con supuestos estudios del narco-pollero en la Universidad de Santiago de Chile y su dirección el Albuquerque, Nuevo Mexico, donde transcurre la mayoría de la serie Breaking Bad.

    El malo entre los malos

    Pero no fue Gustavo Fringe el único personaje de ficción que sirvió de cebo para Hacking Team en sus presentaciones ante los principales servicios de seguridad. Davide Romualdi, ingeniero italiano que trabajaba también para la consultora, controlaba seis cuentas a nombre de Lex Luthor, el archienemigo de Superman, creado por la editorial DC. Una de ellas, por ejemplo, permanece todavía operativa en Twitter:

    Screen Shot 2015-07-14 at 17.59.11

     

    En un caso todavía más exótico, el responsable de la empresa en México optó por un villano del país. Un malvado de telenovela llamado José María Venegas, conocido como “El Chema” y uno de los protagonista del culebrón local El Señor de los Cielos. El personaje de “El Chema”, inspirado en “El Chapo” Guzmán, el narco más buscado del planeta que se fugó esta misma semana de una prisión de máxima seguridad en México, tiene abiertas cuentas operativas en Gmail, Facebook, Twitter, Skype, Apple y Microsoft.

    CNI, Defensa, Guardia Civil y Policía contactaron con Hacking Team para controlar teléfonos

    1330175894999952163

    Hacking Team era uno de los diez contratistas de ciberdefensa más importantes de Europa. Y todos los equipos de Información de los Cuerpos y Fuerzas de Seguridad españoles se interesaron por sus servicios. Algunos como el Centro Nacional de Inteligencia, lo utilizaron para pinchar teléfonos desde 2010. Los correos electrónicos robados a la compañía revelan como el CNI tuvo que cambiar su sistema de navegación anónima el año pasado al verlo comprometido.

    Hacking Team era uno de los diez contratistas de ciberdefensa más importantes de Europa. Y todos los equipos de Información de los Cuerpos y Fuerzas de Seguridad españoles se interesaron por sus servicios. Algunos como el Centro Nacional de Inteligencia, lo utilizaron para pinchar teléfonos desde 2010. Los correos electrónicos robados a la compañía revelan como el CNI tuvo que cambiar su sistema de navegación anónima el año pasado al verlo comprometido.

    La empresa italiana Haking Team está especializada en horadar teléfonos móviles y sistemas informáticos. Y vendía sus productos a los principales servicios de inteligencia del planeta. En España, el Centro Nacional de Inteligencia (CNI) pagó 67.500 euros en 2010 para contratar un software espía. Un programa capaz de infiltrar terminales móviles de forma anónima y extraer todos sus datos. Pero no fue el único. Según la documentación liberada el pasado lunes tras un ataque informático sufrido por la compañía, también los equipos de inteligencia de la Policía Nacional, la Guardia Civil y el Ejército de Tierra se interesaron por las herramientas de hackeo ofrecidas por Hacking Team, uno de los principales contratistas europeos del sector.

    Consultados por EL ESPAÑOL,  agentes de los distintos cuerpos recuerdan que este tipo de contactos están dentro de la normalidad en el trabajo policial: “Lo preocupante no es si nosotros hacemos uso de estas herramientas, ya que lo hacemos bajo mandamiento judicial y en la lucha contra el crimen, sino para qué lo compran empresas o grandes corporaciones”, recuerda uno de los expertos consultados. “Hay una docena de compañías europeas con el nivel de esta. Y otras dos o tres que están por encima. Es completamente normal que estos proveedores ofrezcan sus servicios a la policía y a los centros de inteligencia y que vengan a hacer demostraciones”, mantienen otras fuentes.

    Tras las consultas y según la contabilidad de la empresa, solo una institución española -el Centro Nacional de Inteligencia- contrató sus servicios para extraer datos telefónicos. Los documentos internos de Hacking Team reflejan pagos de la inteligencia española al menos desde 2007, cuando el dinero del CNI era transferido a la cuenta que Hacking Team tenía en Unicredit. Al parecer, lo pagos cesaron en 2011. Pero los datos no concuerdan. Aunque no existen facturas filtradas posteriores a esta fecha -la contabilidad de la empresa se ha hecho pública hasta hace dos meses-, los correos electrónicos de la compañía demuestran que el sistema de infiltración telefónica utilizado por el CNI -que se cobraba por una iguala anual de 67.500 euros- seguía operativo en 2014.

    Sistema comprometido

    “Sergio, el otro día comentamos la posiblidad de que nos facilitarais dos nuevos proxys  ya que los que estabamos usando hasta ahora se han podido ver comprometidos; de hecho tenemos el servicio caído, además nos comentaste que en esta semana saldría una nueva versión, con más hincapié en la seguridad”. Quien así habla es A. R. agente del Centro Nacional de Inteligencia, que pide asistencia técnica sobre el funcionamiento del software.

    Al otro lado de la línea, Hacking Team tenía una veintena de empleados. Y entre a Sergio Rodríguez, un ingeniero español encargado de la mayoría de los clientes de habla hispana. Además, la empresa  contaba con un colaborador en España: un empresario de tecnología llamado Javier Tsang, responsable de la firma Tylostec. El 26 de noviembre de 2014, ambos reflejan en un correo electrónico filtrado ahora su intención de reunirse con los responsables del Mando Conjunto de Ciberdefensa, el organismo encargado de la coordinación de seguridad informática dentro del ámbito militar. Los responsables militares estaban interesados también en infiltrar teléfonos móviles con un troyano. “Recuerda: siendo una demo primera para un cliente nuevo, se infecta lo que yo lleve”, explica el correo.

    En la mayoría de los casos, los hombres de Hacking Team prefieren quedar con los clientes en sus instalaciones de Milán, ya que, por cuestiones de seguridad, la legislación internacional sobre la venta de armas no les permite sacar sus productos de Italia sin autorización expresa.  Esto mismo explicaban los responsables de la firma de seguridad a los agentes de la Policía Nacional en un correo enviado el pasado mes de febrero: “Nos ponemos en contacto con usted para comunicarle que, debido al Acuerdo de Wassenaar, Hacking Team no está autorizada a exportar fuera de Italia ningún sistema -ni siquiera para demostración- que pueda ser utilizado en operaciones reales”.  Al final, la Policía Nacional no utilizó sus servicios. Los encargados de evaluar la oferta los consideraron caros. Algo similar sucedió con la benemérita.

    Respuestas

    Hacking Team ha tardado 48 horas en proporcionar las primeras explicaciones  sobre su gran brecha de seguridad. Su portavoz, Eric Rabe, comentó al sitio especializado MotherBoard que la ciberintrusión fue “muy sofisticada” y realizada, probablemente, por personas “con gran experiencia”. “No creemos que fue alguien cualquiera”, comento Rabe, que apunta a una “organización” criminal e incluso a un gobierno. “Es difícil de saber”, dijo. La compañía ha pedido a sus clientes que no utilicen sus productos hasta una nueva actualización de sus sistemas, en una fecha no revelada.

    El domingo, el mismo sitio contactó con un hacker llamado PhineasFisher que se atribuyó este ataque y otro anterior contra la compañía  de vigilancia online Gamma International, que comercializa el controvertido spyware FinFicher. El propio PhineasFisher ya ha anunciado que desvelará cómo Hacking Team fue hackeado.

    https://twitter.com/GammaGroupPR/status/618250515198181376