En la realización de investigaciones policiales que implican el uso de escuchas de telefonía IP, las autoridades enfrentan el problema que programas como Skype cifran la conexión a Internet, por lo que no es posible interceptar la conversación y escucharla en las instalaciones del proveedor de conexión o ISP.
En lugar de ello, la policía se ve forzada a instalar software en uno de los dos PC participantes en la comunicación. Esto hace posible escuchar la conversación antes que esta sea cifrada y enviada a la red.
Con tal objetivo, la policía alemana ha desarrollado un troyano estatal secreto, que vendría a ser un malware creado con fondos públicos.
La organización Chaos Computer Club (CCC) afirma que el programa en cuestión hace mucho más que escuchar la telefonía IP del usuario. En éste comunicado, CCC indica que el troyano abre una puerta trasera en el PC, lo que le permite instalar nuevo software espía.
En la práctica, esto implica que la policía alemana consigue pleno acceso a los contenidos del PC y a todas las actividades realizadas por el usuario, siendo posible incluso controlar el micrófono y la cámara del aparato.
Según CCC, el Tribunal Constitucional de Alemania ha establecido claros límites para las atribuciones policiales y las facultades que los policías tienen al intervenir un PC. CCC observa que el troyano estatal excede con creces tales atribuciones con lo que, por extensión, está infringiendo la ley.
A lo anterior se suma que el troyano estatal abre graves brechas de seguridad en el PC, que pueden ser utilizadas por terceros para intervenir el aparato. El flujo de audio y vídeo que el programa envía a los policías está protegido por un débil sistema de cifrado, y las instrucciones que recibe carecen totalmente de cifrado.
“Nos sorprende y conmociona que el programa de espionaje no cumpla normas elementales de seguridad. Un atacante fortuito puede, sin más, asumir el control de un PC infectado por las autoridades alemanas”, escribe CCC. El nivel de seguridad del troyano es comparado a usar la contraseña “1234” en un PC.
Por si lo anterior no fuese suficientemente grave, los intrusos pueden asumir el control del troyano estatal y enviar datos falsos a la propia policía, manipulando así la investigación. Esto hace posible, además, “plantar” evidencia falsa en el PC de un sospechoso.
La sorpresa de CCC no termina aquí. Según la organización pudo comprobar, los datos e instrucciones enviadas por la policía alemana son redireccionados mediante un servidor en Estados Unidos, lo que abre un nuevo flanco de riesgo: que las autoridades estadounidenses también escuchen las conversaciones.
La intención original era dar a la policía una nueva herramienta para realizar las tradicionales escuchas telefónicas en la era digital, donde un número cada vez mayor de llamadas son realizadas vía Internet. Según CCC, las autoridades han conseguido más bien un sistema que permite la vigilancia masificada e indiscriminada de los ciudadanos alemanes.
Un grupo de políticos alemanes exigen que el tema sea investigado. El Partido Pirata de Alemania, que según sondeos conseguiría el 8% del sufragio en caso de realizarse elecciones ahora mismo, exige la dimisión del Ministro del Interior.
El Ministerio del Interior rechazó categóricamente ante medios alemanes que el software investigado por CCC sea propiedad de las autoridades.
Lo que sea que CCC haya investigado o recibido, en ningún caso es un troyano estatal, declaró un portavoz gubernamental a la estación de TV ARD.
Aduciendo protección de su fuente, CCC se niega a informar donde consiguió el programa, y podría ser muy difícil probar que, efectivamente, se trate de un troyano estatal.
CCC publica además un análisis de 20 páginas del troyano estatal.
Fuentes: CCC, ARD TV, Heise Online.
Actualizado: [ 10/10/2011 – 12:42 EST ]
Steffen Seibert, portavoz de la Canciller de Alemania, Angela Merkel comentó vía Twitter que ésta se toma la situación “muy en serio” y que ha pedido a las autoridades responsables aclarar si han utilizado o no programas de tipo troyano.
En enero de 2008, nuestra publicación informó sobre el programa Skype Capture Unit, creado por las autoridades alemanas para intervenir conversaciones hechas vía Skype.
Imagen: Angela Merkel (Fotografía de Wikipedia Commons)
