7/10/2015

Cisen, “demasiado estúpido” para proteger su propia seguridad: correo Hacking Team

ESPI

México, el principal comprador de software para “contaminar” celulares y computadoras usados por ciudadanos que son objetivos de espionaje.


El Centro de Investigación y Seguridad Nacional (Cisen) operó los sistemas de espionaje comprados a Hacking Team (HT) sin los mínimos requerimientos de seguridad y con un alto riesgo de ser atacados cibernéticamente desde 2011 y hasta 2014, revelan correos electrónicos publicados por Wikileaks.
Un mensaje de Alex Velasco, director de ventas de la empresa italiana, sostiene que el Cisen realizó una práctica “suicida para la seguridad” (a security suicide), que sus clientes mexicanos son “demasiado estúpidos para instalar un programa” y que por ello es imposible saber si el espionaje mexicano fue hackeado.
Hacking Team fue víctima de un ataque que resultó en el robo  de más de 400 gb de información; los archivos filtrados en internet revelan que México es el principal comprador de software para “contaminar” celulares y computadoras usados por ciudadanos que son objetivos de espionaje.
Los correos electrónicos consultados por el equipo de Aristegui Noticias indican que Cisen comenzó a usar el software de espionaje en 2010.
Durante las negociaciones, los hackers italianos presentaron un “paquete completo” que incluía el programa de espionaje, además de computadoras, servidores  y un firewall.
El firewall es un software que evita que hackers o virus tengan acceso a las computadoras del Cisen. Se puede traducir como “corta fuegos” y funciona como un muro de seguridad entre el usuario y las amenazas de internet.
Los funcionarios mexicanos no estuvieron de acuerdo con el precio de todo el paquete y buscaron una rebaja. La empresa Hacker Team respondió con una oferta que únicamente incluía el software de espionaje (sin computadoras, servidores y firewall) y la primera compra se hizo en diciembre de 2010.
En febrero de 2011, los funcionarios del Cisen se dieron cuenta que no tenían el paquete completo y reclamaron a la empresa italiana, que argumentó que el contrato así venía especificado, pero accedieron a dar dos servidores y una laptop, pero no el firewall.
Durante cuatro años, Cisen no reportó a Hacking Team ningún ataque, pero según los correos electrónicos no lo hubieran podido detectar, por la falta de protección adecuada.
Finalmente, en septiembre de 2014 un técnico de HT instaló el sistema de seguridad en una visita a México.
Los correos electrónicos muestran la alarma entre los proveedores del servicio e incluso hablan sobre la poca habilidad informática de los espías mexicanos.
Los mensajes revelan que el Cisen tenía 19 operaciones de seguimiento el día que Barack Obama visitó la ciudad de Toluca, el 19 de febrero de 2014, cuando los espías mexicanos habían dicho que normalmente monitoreaban dos o tres personas:
El 26 de agosto de 2014, Alex Velasco Director de Ventas de las cuentas clave de HT (Key Account Manager), escribió:
Se comenta que el CISEN va por ahí diciendo que no somos un sistema seguro y Hacking Team es demasiado vulnerable. Les recuerdo que los registros indican que ellos todavía no han puesto su Firewall.
Lo he dicho antes y lo estoy diciendo de nuevo. TENEMOS QUE IR A PONERLES EL FIREWALL! Sé que no es nuestro trabajo, pero mi trabajo no es simplemente sentarme y dejar que un cliente destruya nuestra reputación sólo porque son demasiado estúpidos para instalar un cortafuegos. Tenemos que reaccionar a esto porque puede ser el bloqueo de nuestras ventas en México. Un cliente infeliz y si no nos detenemos, se extenderá a los demás países.
Marco Bettini, ingeniero especializado en ventas, le respondió:
Hola Alex (…) Acerca Cisen: en nuestra primera oferta enviada desde mayo de 2010 pusimos licencia de software y hardware con precios separados (precio software incluye servidores, portátiles y cortafuegos) .Después de una larga negociación, en diciembre 2010 se emitió la última oferta y se hizo la primera orden; en dos de ellos se decía claramente que el objeto de la compra fue SOFTWARE solamente (hardware
no se incluyó). Dos meses después, en febrero de 2011, unos días antes de la entrega hecha por Alberto P. y Bruno, Cisen afirmó que el equipo no fue entregado; se les explicó que no estaba incluido en el contrato, dijeron que su intención era comprar el sistema completo. Para evitar más problemas, David nos autorizó el suministro de hardware y nos entregó la configuración mínima con dos servidores y un ordenador portátil ; pensábamos que se iban a preocupar de la creación de redes y la seguridad, Después de eso, Cisen nunca comunicó problemas de seguridad ni instal el Firewall.
Alex Velasco le respondió:
(…) Ellos nos están culpando por su falta de firewall, alegando que ellos compraron un sistema completo y no se los damos. Nota: Yo no estaba allí cuando compraron su sistema. No tenía ni idea de que no tienen un servidor de seguridad, tampoco debería … Pero nosotros tenemos la culpa de todos modos. (…) Me entra el pánico sabiendo el peligro en que podrían estar  y les dije que si fuera por mi detenía todas las operaciones para conseguir el firewall lo antes posible. Para que lo sucedido fue el mismo día que Obama estaba en la ciudad a unas pocas millas de distancia. Ninguna operación podría ser detenida y la verdad salió a la luz que tenían 19 operaciones en curso y no sólo una o dos como han dicho en el pasado. Al final del día, tenían un servidor de seguridad (firewall server) para instalarse con un interruptor.
Sergio Rodriguez-Solís y Guerrero, ingeniero de HT, respondió:
Hola (…) cuando yo estaba ahí en enero (2014) con Alex todavía no tenían Firewall. Y sé que el sistema está funcionando porque les he contestado algunas preguntas de soporte. Tienen dos hubs (no switches, hubs) conectados entre ellos (…) Es un suicidio de  seguridad (…).
Podría ser posible incluso que hayan sido hackeados, pero quién sabe.
Por lo tanto, ningún informe sobre ataques de seguridad que venga de una organización que no puede instalar un cortafuegos debe ser de confianza (…).

No hay comentarios.:

Publicar un comentario