La DEA de EE. UU. compra spyware a una empresa italiana

La DEA gasta millones de dólares en la compra de herramientas de hacking de una empresa italiana

La Agencia de Control de Drogas ha estado gastando millones en herramientas de spyware producidas por la controvertida empresa italiana de tecnología de vigilancia, Hacking Team, desde 2012, según un informe exclusivo de Motherboard.

El software, conocido como Sistema de Control Remoto o “RCS”, es capaz de secuestrar llamadas telefónicas, mensajes de texto y mensajes de redes sociales, y puede activar secretamente la cámara web y el micrófono de un usuario, así como recopilar contraseñas.

Los registros gubernamentales muestran que la agencia pagó $2.4 millones por un RCS que podría ser incrustado en el teléfono de un sospechoso. Una vez que el teléfono está infectado, el spyware puede grabar textos, correos electrónicos, contraseñas e incluso interceptar conversaciones cercanas a través del micrófono incorporado. El uso de spyware por parte de las fuerzas del orden es polémico, y los funcionarios generalmente necesitan una orden judicial antes de instalar los programas. Sin embargo, algunas agencias en el pasado han ignorado ese requisito.

La fuente del spyware es aún más polémica. Los registros muestran que la DEA compró el spyware a Cicom USA, pero las fuentes de Motherboard dicen que Cicom es simplemente un revendedor de productos fabricados por Hacking Team que comenzó a comercializar a agencias estadounidenses en 2011. El grupo tiene una mala reputación en círculos de seguridad por implantar malware dirigido en YouTube y servicios de Microsoft Live, y también ha vendido a gobiernos en Marruecos, Etiopía y los Emiratos Árabes Unidos.

Según tanto registros públicos como fuentes, la DEA originalmente realizó un pedido del software en agosto de 2012. El contrato, que los registros muestran que está programado para completarse en agosto de 2015, se identifica solo como “Sistema de Intercepción Basado en Host Controlado Remotamente”.

El contrato, que fue revelado anteriormente, muestra que el FBI no es la única agencia gubernamental de EE. UU. involucrada en tácticas de hacking. Mostró que la DEA ha estado comprando ilegalmente el malware para ser utilizado para espiar a criminales sospechosos.

Según los expertos en tecnología de vigilancia, los vínculos de la DEA con Hacking Team son suficiente prueba de que los métodos y herramientas que alguna vez se pensaron para ser utilizados solo por el ejército, agencias de inteligencia e incluso cibercriminales—como drones y StingRays—se están volviendo mundanos en las fuerzas del orden también.

A pesar de los rumores de que Hacking Team tiene una oficina en EE. UU., nunca ha habido pruebas de que la empresa haya vendido sus productos en América. Además, en una entrevista con la revista italiana L’Espresso, el CEO David Vincenzetti se jactó de tener clientes en más de 40 países, incluidos EE. UU.

Sin embargo, la conexión entre Cicom USA y Hacking Team fue confirmada a Motherboard por múltiples fuentes con conocimiento del acuerdo, que hablaron bajo condición de anonimato porque no estaban autorizadas a discutir los detalles del contrato.

Eric Rabe, un portavoz de Hacking Team, no aceptó ni negó la existencia del contrato con la DEA.

El software RCS de Hacking Team puede ser implantado secretamente en la computadora o teléfono celular del sospechoso y monitorear toda la actividad, permitiendo a los oficiales de policía espiar datos que de otro modo podrían estar cifrados y fuera de su alcance.

Cicom USA, según la DEA, fue la única empresa capaz de proporcionar el servicio requerido, basado en la investigación de mercado realizada internamente por la agencia. La DEA no respondió a preguntas sobre esta investigación.

La gran pregunta para los expertos en vigilancia es si la DEA realmente tiene la autoridad legal para usar spyware como el de Hacking Team—y cómo, exactamente, se utiliza. Un portavoz de la DEA dijo que la agencia “siempre cumple con las leyes de las jurisdicciones dentro de las cuales opera.”

Y agregó que “sin embargo, en este caso, esta es tecnología comercial, legalmente disponible para la compra por todos y utilizada en todo el mundo por muchas organizaciones.”

Pero los expertos no están convencidos. Sin embargo, algunos expertos legales señalan que no hay nada ilegal en el uso de spyware. Aunque no hay una ley específica que cubra específicamente el hacking, Jonathan Mayer, un científico informático y abogado de la Universidad de Stanford, dijo que las agencias de aplicación de la ley están “ampliamente autorizadas” a realizar búsquedas en EE. UU., incluyendo el uso de técnicas de hacking.

Sin embargo, para los críticos, como Soghoian o Privacy International, aún debería haber más claridad y una discusión pública.

“Si las agencias de aplicación de la ley pueden hackear tu computadora, encender tu cámara web, encender tu micrófono y robar documentos de tu computadora,” dijo Soghoian, “ese es el tipo de cosa que debería llamar la atención del Congreso, particularmente antes de que esto llegue a las agencias locales de aplicación de la ley.”

Recurso: Motherboard.Vice.