Ataques informáticos

Los e-mails de los eurodiputados, ‘hackeados’

Bruselas multa a Microsoft por imponer el Explorer

Decenas de miles de correos electrónicos, documentos confidenciales, direcciones, agendas, comunicaciones profesionales y también privadas… El Parlamento Europeo tendrá que cambiar radicalmente el sistema de seguridad del servidor de correo electrónico de todos los eurodiputados. Un hacker acaba de demostrar la frágil seguridad de los servidores del Parlamento.

Según ha podido constatar Mediapart, este hacker ha logrado, en los últimos meses y de forma regular, acceder a los e-mails que recibieron 14 diputados, asistentes parlamentarios y empleados europeos que, previamente, había seleccionado de forma aleatoria para dejar en evidencia de este modo el grave fallo de seguridad, tras colarse en el software del correo de Microsoft Exchange, que es el que se utiliza en el Parlamento Europeo. Los diputados, cuyas cuentan han sido hackeadas, son:

Markus Pieper (Alemani, PPE/CDU)

Jean-Jacob Bicep (Francia, verdes)

Maurice Ponga (Francia, UMP)

Constance Le Grip (Francia, UMP)

Ana Gomes (Portugal, socialistas)

Aldo Patriciello (Italia, El pueblo de la Libertad)

Los asistentes parlamentarios espiados son:

Sonia Léa Rouahbi y Melanie Vogel (Jean-Jacob Bicep)

Ivan Forte (Aldo Patriciello)

Alexandra Carreira (Ana Gomes),

Perrine Orosco (Mauric Ponga)

La colaboradora de un grupo político es:

Céline Bayer (Socialistas y demócratas)

Los dos empleados del Parlamento que trabajan en los servicios informáticos son:

Dimitrios Symeondis

Antonio Inclan

“Ha sido un juego de niños”, según ha reconocido a Mediapart el pirata informático. “Con un ordenador portátil de gama baja con conexión Wi-Fi y algunas nociones de informática que están al alcance de todo el mundo en internet, cualquiera puede hacer algo así”. El hacker solo necesitó instalarse en un sitio público cercano al Parlamento de Estrasburgo, situarse cerca de los diputados para, a continuación, ponerse manos a la obra. El único aspecto un poco técnico consistió en “arreglárselas para que los móviles –de los eurodiputados– se conectaran a internet a través de la Wi-Fi de mi ordenador”.

Llegados a ese punto, la obtención de los datos fue tan sencillo que resulta abrumador. Buena parte de los smartphones de los eurodiputados están efectivamente equipados con una aplicación de Microsoft que se llama “Active Sync” que, regularmente, se conecta a los servidores de correo del Parlamento para comprobar si el usuario ha recibido mensajes nuevos. Ahora bien, en esta aplicación, se graban el nombre de usuario y la contraseña. En caso de problemas, y especialmente ante un intento de intrusión, en el teléfono aparece un mensaje de error “al que mucha gente da a 'aceptar' sin haberlo llegado a leer”, explica el hacker. “Lo que permite al portátil, que se encuentra en medio, desencriptar las comunicaciones, antes de volverlas a encriptar y enviarlas al verdadero servidor”.

Concretamente, al lograr situarse entre el móvil y el servidor de Microsoft Exchange, el atacante obtiene el nombre de usuario y la contraseña de las personas objeto del ataque, de modo que tiene acceso inmediato a la totalidad de lo almacenado en la cuenta, es decir, al conjunto de los correos recibidos y enviados, a las agendas personales y “con un pequeño esfuerzo”, también a los ficheros que eventualmente pueden encontrarse guardados en las cuentas personales de la red del Parlamento Europeo.

Gracias a este método, todo estos datos especialmente sensibles quedan en manos de “prácticamente cualquiera”… Uno de los aspectos que más inquietan en la acción de este pirata es, quizás, la simplicidad con el que se ha llevado a cabo, puesto que se ataca a los móviles de personas que utilizan un punto de acceso Wi-Fi. Por tanto, puede llevarse a cabo desde cualquier punto. Con independencia de que los diputados se encuentren en Estrasburgo, en China o en Washington, basta con instalarse cerca de ellos, con un ordenador, esperar que algunos cometan la imprudencia de darle al botón de “aceptar”, en el momento que aparece el mensaje y el intruso ya tiene vía libre para acceder a todos sus datos.

Mediapart ha constatado que el hacker se ha limitado a husmear en los “mensajes recibidos” de 14 diputados, asistentes parlamentarios y empleados del Parlamento Europeo. No ha copiado ningún otro mensaje ni tampoco informaciones personales. Su intención no era otra que la de lanzar, por ejemplo, un mensaje político al hacer de la vulnerabilidad de la seguridad informática, un asunto central en las próximas elecciones europeas.

“Por una parte, hay ciudadanos que, a día de hoy no saben prácticamente nada de lo que sucede entre bambalinas en estas instituciones, de las relaciones del mundo político y económico… Y, por otro lado, tenemos agencias de inteligencia con un poder casi omnisciente que, gracias al espionaje, pueden decidir el futuro de un hombre político o influir sobre las decisiones que este toma”, explica. “Si, con un material tan rudimentario, es posible colarse en la red de comunicación de los responsables políticos encargados de la toma de decisiones de la política europea, ¿qué tenemos que pensar de nuestro proceso democrático? Las bases del mismo quedan en entredicho".

A pesar de que se han multiplicado las revelaciones sobre el espionaje mundial llevado a cabo por EEUU, nuestros responsables políticos parece que no todavía no han tomado conciencia de la magnitud y alcance del problema. “Tengo la impresión de estar ante unos peleles”, afirma el hacker, que explica haber querido “hacerles reaccionar” para “que tomen conciencia” y “quién sabe, si se logra mejorar las cosas para la próxima legislatura”. Más allá de “los comportamientos catastróficos”, en materia de seguridad, de algunos diputados, el pirata informático denuncia también que se haya elegido a la compañía Microsoft como proveedor del servicio, lo que hace “casi imposible el cifrado de las comunicaciones debido a que se trata de un sistema propietario que excluye al software estándar”.

Servicios múltiples y sin protección

Las revelaciones de este hackeo llega en un momento particularmente sensible para el Parlamento Europeo que, desde hace varias semanas, ha multiplicado las audiciones en el marco de su investigación “sobre la vigilancia masiva de la NSA” y la complicidad de las empresas americanas, desveladas por Edward Snowden.

Así, el lunes día 11 de noviembre, el comité LIBE (Libertades civiles, justicia y asuntos interiores) escuchaba las explicaciones de los representantes de Google, Facebook y Microsoft con relación, sobre todo, a los nuevos documentos publicados por el antiguo empleado de la NSA. Efectivamente, el 30 de octubre pasado, el Washington Post, revelaba la existencia de un programa de la NSA bautizado MUSCULAR que le permitía interceptar las informaciones que circulan entre los “data center”, estos almacenes albergan los servidores en los que se guardan los datos de los usuarios, de Google y de Yahoo. Este sistema de recopilación permite a la agencia acceder, a diario, a varios millones de datos de todo tipo.

Durante estas audiciones, el diputado europeo Claude Moraes preguntó a Dorothee Belz, vicepresidenta de Microsoft encargada de los asuntos jurídicos, por las medidas de seguridad puestas en marcha por el gigante del software para proteger los datos almacenados en sus servidores. “Lo que puedo decir a día de hoy es que el transporte de servidor a servidor generalmente no se realiza encriptado”, admitió Dorothee Belz. “Por ese motivo, en estos momentos estamos revisando nuestro sistema de seguridad”. Teóricamente, así se realizan los intercambios entre los múltiples servicios que ofrece Microsoft, de Outlook a Hotmail, pasando por la Xbox Live, que circulan sin protección.

No es la primera vez que se pone en tela de juicio la seguridad de los productos del gigante norteamericano y la utilización que de ellos hacen las instituciones públicas. Incluso hace años que asociaciones y expertos se vienen revelando contra la falta de celo de la que los responsables políticos hacen gala con respecto a Microsoft, empresa que es acusada sistemáticamente de dejar en su software “backdoors”, es decir agujeros de seguridad, pero que en la práctica son accesos ocultos.

“Optar por Microsoft es, ni más ni menos, que darle las llaves a los norteamericanos”, espeta Éric Filiol, experto en seguridad informática y antiguo criptoanalista de la DGSE. “En pleno escándalo Prism, no podemos ofuscarnos porque los norteamericanos nos espíen mientras que utilizamos las herramientas del enemigo”, explica. “Por ejemplo, si desde Francia utilizamos Skype, que es de Microsoft, sus servidores están situados en EEUU. Por lo tanto si la NSA quiere acceder a una conversación determinada, basta con que curse la petición correspondiente a Microsoft y, en virtud de la ley Patriot Act, tiene la obligación de darle acceso. Además, se sabe que técnicamente existen elementos ocultos. Son cajas negras, cajas negras legales”.

Mucho se ha escrito de estas famosas “backdoors” o puertas traseras que las autoridades estadounidenses habrían impuesto a sus empresas nacionales para garantizarse un acceso a los productos que se venden en el extranjero. El Parlamento francés abordó el tema ya en 2001, tras la elaboración de un informe de la comisión de defensa sobre Echelon, otro programa de vigilancia mundial de la NSA que también hizo saltar el escándalo a finales de los años 90. El autor de dicho informe, Arthur Paecht, insistía sobre todo en que “especialistas de la DGA (la Dirección General de los Ejércitos, por sus siglas en francés) que trabajan en el centro electrónico del armamento de Rennes probaron (…) la existencia de fallos o funciones ocultas en determinados softwares”.

“Desde hace muchos años, investigadores o especialistas denuncian estos fallos tecnológicos”, reseñaba. “Son más temibles por cuanto emanan de productos de origen norteamericano que cuentan con más del 80% del mercado mundial”. Frente a los desmentidos de Microsoft, Arthur Paecht afirmaba que “no obstante, el Gobierno francés tenía constancia de sus existencia por un informe titulado 'Seguridad de los sistemas de información: dependencia y vulnerabilidad”, del almirante Jean Marguin y dirigido por la Delegación de asuntos estratégicos del Ministerio de Defensa, remitido a principios de febrero de 2000”.

Con estos antecedentes, es sorprendente que las administraciones públicas, francesas o europeas, sigan desde entonces decantándose por Microsoft. Sobre todo, cuando es sabido que entre los miembros de la comisión de Defensa que investigaron el escándalo Echelon se encontraban Jean-Yves Le Drian, Jean March Ayrault y François Hollande, actualmente ministro de Defensa, primer ministro y presidente de la República, respectivamente.

Varios Ministerios franceses

El Parlamento Europeo no es la única administración que confía en Microsoft. La Comisión Europea, pese a haberse comprometido a apoyar el software libre, es decir, abierto y que no está en manos de ninguna empresa, también está equipada con software de la sociedad fundada por Bill Gates, desde 1993. Este contrato, que incluye licencias para 36.000 puestos, se renovó en septiembre de 2011, sin que mediase concurso previo ni publicidad alguna.

Francia no se queda atrás. Por sistema, instituciones, a menudo algunas de las más sensibles, deciden confiar todo o parte de su sistema informático a Microsoft. El ejemplo más llamativo es el del Ministerio de Defensa. En 2008, el sitio web PC INpact desvelaba que la sociedad había propuesto a por lo menos dos ministerios franceses un contrato llamado “open bar”, una especie de tarifa plana, gracias a la cual podía emplear un software determinado durante cuatro años en un número establecido de ordenadores por 100 euros más impuestos por equipo. El contrato, al que ha tenido acceso Mediapart, fue firmado por el Ministerio de Defensa en Irlanda el 24 de febrero de 2009, sin que mediara concurso público ni se publicidad alguna. En total afecta a 188.500 puestos, lo que supone casi 19 millones de euros.

La revelación de este acuerdo provocó el enfado de las asociaciones que promueven el software libre. En 2010, la Asociación francófona de usuarios de software libre (Aful, en sus siglas en francés) escribieron a los diputados para mostrarle su preocupación. “¿Es muy inteligente dejar en manos de una empresa extranjera los sistemas de información del Ministerio de Defensa, indispensables para el ejercicio de sus misiones?”, se preguntaban.

Por su parte, la Asociación para la promoción y la investigación de informática libre (April) solicitó conocer los documentos administrativos de la Comisión de Acceso a los Documentos Administrativos (Cada), que finalmente concluyó el mes de octubre pasado. La asociación recibió tres documentos que recogían el proceso que había conducido a la firma del contrato. Estos evidencian que la elección de Microsoft esta lejos de ser fruto del consenso en el seno del Ejército francés.

Así, en un informe de 2008, un grupo de expertos afirmaba que “habida cuenta de los riesgos elevados y del sobrecoste con relación a la situación actual, el grupo de trabajo desaconsejó aceptar un contrato conjunto para limitarlo a las cuestiones burocráticas”. Según April, “estos documentos muestran que la elección de un contrato de tarifa plana es consecuencia de una decisión política que se había tomado antes de realizar estudios sobre su viabilidad y sus riesgos”.

“Cuando conocí la existencia de este contrato, como militar retirado, di un respingo”, explica Éric Filiol. “Tal y como escribí entonces: hay muchas formas de traicionar a un país y esta es una de ellas”. Ni siquiera se necesita espiar, tampoco se precisa [el programa de vigilancia electrónica] Prism, nosotros mismos les ponemos en bandeja nuestros datos. En EEUU, por ejemplo, está prohibido que las administraciones utilicen las tecnologías que no sean norteamericanas”.

En estas condiciones, falta saber porqué los responsables políticos siguen dejando redes tan sensibles en manos de una empresa tan cuestionada. “En primer lugar, hay que hablar del enorme peso que tienen los lobbys”, aclara Isabelle Attard, diputada de EELV en la Asamble nacional, especialmente activa en la defensa del software libre. Microsoft es conocido por organizar numerosos desayunos y presentaciones en honor de diputados y políticos que intervienen en la toma de decisiones. “Al inicio de esta legislatura, yo misma recibí una invitación de Microsoft para acudir a uno de esos show-rooms”, explica Isabelle Attard.

A eso hay que añadir, prosigue la diputada, “el total desconocimiento de la problemática”. “Cuando tratamos estos asuntos, la mayoría de nuestros colegas no nos toman en serio o no lo ven interesante. Me dicen 'Isabelle, estás exagerando…'” o que estoy “paranoica”; esos comentarios también provienen de las filas socialistas. Recientemente, hemos intentado elaborar un listado de diputados que sienten implicados y hemos comprobado que solo lo están unos 10-12 diputados, en total”.

Sin embargo, en Francia, el primer ministro Jean-Marc Ayrault firmó el 19 de septiembre de 2012 una circular que recoge las directrices “para el uso de software libre en la Administración”. En mayo pasado, Isabelle Attard presentó 37 preguntas por escrito, una por cada Ministerio, para saber cómo se habían aplicado dichas consignas. “A día de hoy solo han respondido 11. “Por desgracia, pocos de ellos parecen haber entendido la importancia de una decisión de este calibre para la seguridad”, lamenta Isabelle Attard.

“Actualmente, numerosas administraciones dependen de una empresa”, prosigue la diputada, “Mientras que el software libre es la independencia, la sostenibilidad y la seguridad”. “Los poderes públicos se financian con nuestros impuestos y el software libre debería ser uno de los aspectos del servicio público”, insiste también Frédéric Couchet, delegado general de April. “Espero que sea uno de los temas que se aborden en las elecciones europeas. Sin embargo, desgraciadamente, lo digital no se ve como un asunto de la sociedad. Tenemos la impresión de que, a pesar de todo lo que hemos sabido, pasan de todo…”.

Mediapart ha contactado con el gabinete de prensa del Parlamento Europeo que ha preferido no hacer ninguna declaración hasta ver este artículo publicado.

Traducción: Mariola Moreno

Snowden implica a Google, Microsoft, Yahoo y Facebook en el espionaje masivo

Snowden implica a Google, Microsoft, Yahoo y Facebook en el espionaje masivo

Más sobre este tema
stats