VALPARAÍSO (apro).- Honda preocupación provocó el hecho de que la Policía de Investigaciones de Chile (PDI) compró el software maligno de espionaje System Control Remote “Galileo” a Hacking Team. Ésta es una empresa de hackers que se dedica a la seguridad informática, aunque ellos se hicieron famosos hace algunos años luego de que Reporteros Sin Fronteras los ubicó en la categoría de “enemigos de Internet”. Hacking Team fue víctima --el domingo 5-- de un ataque informático que puso al alcance de todo el mundo unos 400 GB de información suya y de sus clientes. “Galileo” es su producto estrella, pues permite intervenir aparatos tecnológicos, computadores, notebook y celulares a través de la implantación de un malware de ataque o virus en los equipos que busca espiar. El programa actúa sin la autorización del usuario investigado y sin que éste se percate de la intrusión. De esta forma puede vulnerar, desde el interior del equipo atacado, cualquier forma de encriptación, posibilitando el acceso a toda la información que el usuario tenga. También puede capturar sus comunicaciones telefónicas y por Internet. Producto “ilícito” El lunes 6, diversos portales publicaron que la policía chilena aparecía incluida en un listado de clientes de Hacking Team con un contrato por 2.85 millones de dólares (mdd), el más cuantiosos de todos los allí mencionados. Fruto del revuelo ocasionado, la PDI emitió ese día un comunicado en que sostenía que el software “Galileo” (que la corporación disfrazó con el nombre “Phantom”) fue adquirido con el objetivo “de incrementar sus capacidades operativas en la investigación de crimen organizado, terrorismo internacional y narcotráfico a gran escala”. Aclaró que éste será utilizado “de manera exclusiva en la persecución de los delitos con la respectiva autorización judicial". Sin embargo, esta información no satisfizo a todos. El presidente de la Comisión de Inteligencia de la Cámara de Diputados, el democratacristiano (DC) René Saffirio informó, el martes 14, que dicha instancia determinó citar –en fecha aún no determinada-- al director nacional de la PDI, prefecto general Héctor Espinosa Valenzuela, con el fin de que explique los detalles de la adquisición del programa “Galileo”. Saffirio confirmó tras la reunión de la comisión parlamentaria: “Hemos concordado en la preocupación que genera este tema y, por ello, hemos citado al titular de la PDI, obviamente con carácter reservado y no sólo por la forma de adquisición, sino por el impacto de este uso de tecnologías por parte de las policías en el país, considerando la legislación vigente”. Uno de los aspectos más controversiales que genera la adquisición de “Galileo” se origina en que éste sistema vulneraría el artículo 222 del Código Procesal Penal --referido a la Interceptación de Comunicaciones Telefónicas--, donde se específica que los jueces sólo pueden autorizar la interceptación y grabación de comunicaciones telefónicas o similares cuando “existieren fundadas sospechas, basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión” de un delito, y que ésta interceptación resultase “imprescindible” en las pesquisas. La justicia permite el monitoreo de redes, que es lo que hace la inteligencia policial, pero no el hackeo. Si un fiscal quiere intervenir los datos de una persona que está siendo investigada, debe solicitar una orden judicial. Si ésta es avalada por un juez, se incautan los equipos y técnicos informáticos, la policía extrae la información, misma que se entrega a la Fiscalía. “El problema es que la PDI compró uno de los programas más caros e intrusivos de Hacking Team, la versión 9.0 del “Galileo”, que sirve para espiar a cualquier persona, sin necesidad de orden judicial”. Es lo que señala en entrevista un experto informático, que prefirió resguardar su identidad y a quien denominaremos “Vicente”. Las pruebas En el reportaje “El hackeo que desnudó a las policías del mundo”, y que incluye a la PDI chilena, publicada el martes 7, Radio Villa Francia (RVF) da detalles de la transacción. Allí afirma que, entre octubre y diciembre pasado, la PDI representada por el prefecto del Departamento de Logística, Gonzalo Vázquez Calderón, y del intermediario Jorge Lorca, de la empresa Mipoltec, adquirió “en 2.8 millones de dólares el servicio completo del software Remote Control System Galileo (RCS v.9.X) a Hacking Team, incluyendo software, hardware y soporte técnico hasta el 31 de diciembre del 2018”. En el reportaje se reproduce un correo escrito el 12 de junio de 2015 por Lorca –que es técnico informático-- al ejecutivo del Área de Negocios de Hacking Team, Phillipe Vinci. Allí le informa que el propósito de la Policía de Investigaciones (representada por Demtel, Departamento de Monitoreo Telefónico), de adquirir el sistema, era usar a “Galileo” “como una herramienta de apoyo para obtener los datos IP de los clientes y acceso a información que no obtendrán a través de una orden judicial”. Acota Vicente: “Este mail complica in extremis a la PDI porque da cuenta de que ellos buscan obtener información ilegalmente”. El experto afirma que el contenido de este coreo se contradice con la explicación dada a conocer por la PDI en el comunicado del lunes 6, en que se afirma que este programa sólo se utilizará con autorización judicial. “Si el objetivo fuera ese, no se requería haber comprado este programa… les habría bastado el viejo programa ETI, actualizado, que sale mucho más barato y que es el que ocupa Carabineros para las interceptaciones telefónicas”, complementa. En un reportaje del 12 de febrero pasado, titulado “Carabineros pagó US$ 3,3 millones por equipo para ‘pinchar’ teléfonos y no funcionó”, el Centro de Investigaciones Periodísticas (Ciper) da cuenta que Jorge Lorca ha tenido un ascenso meteórico desde que, a fines de 2012, dejó su puesto en la empresa Tecnodata, donde se encargaba del mantenimiento y reparación de equipos de espionaje policial. “Según los registros del sistema Mercado Público, desde su creación (en 2013) Mipoltec ha obtenido 13 licitaciones públicas y dos contrataciones directas” por algo menos de un millón de dólares. Sin embargo, la mayor licitación fue la sugerida en el título de la nota, que terminó en un estruendoso fracaso, aunque según dicho reporte no queda claro si eso fue responsabilidad de Mipoltec o de una licitación mal hecha por Carabineros. En el reportaje de RVF se informa cómo se originó el contacto entre Lorca y Hacking Team, aportando nueva información sobre las tratativas: “En junio de 2013 Lorca se contactó con Hacking Team vía correo electrónico para ofrecer de intermediario de sus servicios”. Con ello buscaba fijar un encuentro con algún representante de esta empresa en la Expo ISS (Intelligence Support System), que en esos momentos se realizaba en Brasilia, y en la que Lorca participaba como un simple miembro de la comunidad mundial de inteligencia. En esa misiva, que iba dirigida a David Vincenzetti, CEO de Hacking Team, Lorca explica que su empresa Mipoltec “vende, desarrolla y distribuye productos tecnológicos y soluciones para las fuerzas policiales y militares, especialmente inteligencia y unidades antidrogas”. Vincenzetti le responde y lo contacta con uno de sus agentes de venta, Alex Velasco, quien asistía a dicha exposición. En un correo de principios de noviembre de aquel año, Lorca le manifiesta que Gendarmería, la Dirección de Territorio Marítimo (Directemar) de la Armada y la Dirección de Inteligencia Electrónica (DIE), de la PDI, estaban interesados en los servicios de espionaje de Hacking Team. En otro correo del 4 de noviembre de 2013 se detallan los requerimientos precisos de cada una de estas instituciones. “Ya he hablado con mis clientes y me han comentado sus requerimientos que detallo a continuación: Directemar (Armada de Chile)= Requiere dos licencias tipo operador y 10 ‘agentes’. Versión completa; DIE (Policía de Investigaciones= Requiere tres licencias tipo operador y 30 agentes. Versión para operar en todo menos teléfonos móviles (…)”. Según informa RVF en la nota sobre Jorge Lorca, “de las tres agencias sólo la DIE de la PDI continúa interesada y solicita para mayo del 2014 un borrador de contrato”. Lorca informa que esta institución pide que el paquete de servicios y productos a adquirir pase a denominarse “solución tecnológica Phantom”. El 20 de mayo del año pasado, Hacking Team envía a Mipoltec el borrador del contrato con todos los detalles asociados. Después de algunas dificultades, éste fue finalmente suscrito el 11 de diciembre anterior. Lorca obtuvo una comisión de 850 mil dólares por la negociación. Pero no es todo, pues nuevos correos dan cuenta de avanzadas tratativas entre el Ejército y la citada empresa italiana en los que dicho ente castrense mostraba gran interés por adquirir sus servicios. En correo electrónico del 24 de junio pasado, y que lleva por asunto: “RE: Nuestra llamada de ayer sobre Galileo”, Lorca le expresa a Vinci: “Excelente noticia Philippe!! Te comento que ayer estuve tratando con personal de inteligencia del Ejército respecto de las inversiones para este año y el próximo, ante lo cual me indicaron que gran parte de sus recursos estarán destinados a Cyber seguridad y Ataque. Cuando tengan la fecha de visita por favor háganmela saber para informarla al cliente y mantener el contacto”. Al momento de producirse el hackeo aparentemente no se había suscrito el contrato con el Ejército ni con ninguna otra institución chilena. Aun así, la PDI, así como las otras organizaciones policiales que ya han adquirido los servicios de la empresa italiana, deberán suspenderlos hasta nuevo aviso. Según informó Proceso en su edición 2019, el jefe de marketing y oficial de comunicaciones de Hacking Team, Eric Rab, informó que su empresa pidió a sus clientes “suspender cualquier investigación que tengan en curso. Todos los clientes han acordado hacer eso”. Aunque se han hecho muchas especulaciones, no es posible aún saber cuáles serán las consecuencias del plagio a Hacking Team. Vicente señala que “lo grave es que van a subirse los códigos fuentes del programa, que es básicamente la arquitectura de éste”. Y sostiene que esta información podría ser usada maliciosamente: “Las personas que fueron espiadas y la información que las policías de los distintos países hayan obtenido, va a estar al acceso de todos. Esto muy grave”, señaló. Y añade: “En los 400 GB no sólo hay accesos a los contratos, mails que intercambiaron las empresas con sus clientes, especialmente las policías, sino que, probablemente –como estamos hablando de malware donde Hacking Team no sólo ofrecía el programa sino asesoría técnica--, puede incluso que quede libre el acceso a toda la información de toda la gente que ellos espiaban, lo que sería un verdadero escándalo de dimensión global”, acota. Debe destacarse que en Chile la información que se ha entregado es muy superficial y remitida a aspectos muy someros del acuerdo entre Hacking Team y la PDI. Sólo RVF y, en menor medida Ciper, han ahondado en el polémico asunto.