Si creías que lo sucedido con The Hacking Team era demasiado vergonzoso para el gobierno mexicano –que gastó una fortuna para espiar a los ciudadanos–, todavía faltaba algo peor: que sus cómplices se burlaran. De los documentos filtrados por Wikileaks, acaba de surgir nueva información que pone en ridículo al Centro de Investigación y Seguridad Nacional de México (Cisen), por haber cometido una “práctica suicida de protección electrónica”.
Y es que Alex Velasco, director de ventas de The Hacking Team, dice en uno de los correos hackeados que el Cisen no compró el paquete completo de espionaje –el cual incluye computadoras especializadas, servidores, soporte técnico y un firewall con VPN– y que por regatear, los funcionarios del Centro de Investigación fueron víctimas de un “lo barato sale caro”.
En específico, esto fue lo que dijo Velasco:
“Se comenta que el CISEN va por ahí diciendo que no somos un sistema seguro y que el Hacking Team es demasiado vulnerable. Les recuerdo que los registros indican que ellos todavía no han puesto su Firewall.
Lo he dicho antes y lo estoy diciendo de nuevo. ¡TENEMOS QUE IR A PONERLES EL FIREWALL! Sé que no es nuestro trabajo, pero mi trabajo no es simplemente sentarme y dejar que un cliente destruya nuestra reputación sólo porque son demasiado estúpidos para instalar un firewall. Tenemos que reaccionar a esto porque puede ser el bloqueo de nuestras ventas en México, un cliente infeliz, y si no detenemos esto, se extenderá a los demás países.”
La respuesta del equipo de The Hacking Team ante la incompetencia del Cisen fue aún más reveladora:
“Hola Alex (…) Acerca Cisen: en nuestra primera oferta enviada desde mayo de 2010 pusimos licencia de software y hardware con precios separados (precio software incluye servidores, portátiles y cortafuegos). Después de una larga negociación, en diciembre 2010 se emitió la última oferta y se hizo la primera orden; en dos de ellos se decía claramente que el objeto de la compra fue SOFTWARE solamente (hardware no se incluyó). Dos meses después, en febrero de 2011, unos días antes de la entrega hecha por Alberto P. y Bruno, Cisen afirmó que el equipo no fue entregado; se les explicó que no estaba incluido en el contrato, dijeron que su intención era comprar el sistema completo. Para evitar más problemas, David nos autorizó el suministro de hardware y nos entregó la configuración mínima con dos servidores y un ordenador portátil; pensábamos que se iban a preocupar de la creación de redes y la seguridad. Después de eso, Cisen nunca comunicó problemas de seguridad ni instaló el firewall.”
Y para cerrar el tema, la compañía decidió deslindarse de toda responsabilidad (con mucha razón):
“(…) Nos están culpando por su falta de firewall, alegando que ellos compraron un sistema completo y no se los damos. Nota: yo no estaba allí cuando compraron su sistema. No tenía ni idea de que no tienen un servidor de seguridad, tampoco debería … Pero nosotros tenemos la culpa de todos modos. (…) Me entra el pánico sabiendo el peligro en que podrían estar y les dije que si fuera por mi detenía todas las operaciones para conseguir el firewall lo antes posible. Para que lo sucedido [sic] fue el mismo día que Obama estaba en la ciudad a unas pocas millas de distancia. Ninguna operación podría ser detenida y la verdad salió a la luz que tenían 19 operaciones en curso y no sólo una o dos como han dicho en el pasado. Al final del día, tenían un servidor de seguridad (firewall server) para instalarse con un interruptor.”
Sé que el sistema está funcionando porque les he contestado algunas preguntas de soporte. Tienen dos hubs (no switches, hubs) conectados entre ellos (…) Es un suicidio de seguridad (…).”
“Podría ser posible incluso que hayan sido hackeados, pero quién sabe.”
“Por lo tanto, ningún informe sobre ataques de seguridad que venga de una organización que no puede instalar un cortafuegos debe ser de confianza (…).”
La compañía italiana accedió a bajar el precio de sus servicios, pero a cambio no dio la protección acostumbrada, lo que dejó a la institución mexicana a merced de un ciberataque, incluso uno muy rudimentario. Lo peor de todo es que el Cisen operó su espionaje –ilegal– hasta el 2014 sin firewall, así que si lo hackearon, jamás lo sabrá.
Sígueme en Twitter: @elDanikus
También podría interesarte:
• Gobierno de Irán podría implementar un sistema para identificar a todo aquel que use Internet
• LPI, la nueva ley que restringe el derecho a la información en España
• Revelan software gubernamental capaz de controlar completamente el teléfono del objetivo
