Hacking Team y la Industria del Spyware Comercial (2015)
En julio de 2015, un hacktivista filtró 400 GB de datos de Hacking Team, la empresa italiana que vendía spyware a gobiernos de todo el mundo. La filtración reveló clientes con historial de abusos, zero-days de Flash y el código fuente de RCS. Fue el primer gran destape de la industria de vigilancia comercial.
Milán, 5 de julio de 2015: la empresa de espionaje es espiada
A las 2:47 de la madrugada (hora de Milán) del 5 de julio de 2015, la cuenta oficial de Twitter de Hacking Team publicó un mensaje que no había escrito nadie de la empresa: "Since we have nothing to hide, we're publishing all our e-mails, files, and source code". Adjunto, un enlace a un torrent de 400 GB.
No era una broma ni un ejercicio de transparencia corporativa. Alguien había penetrado los sistemas de Hacking Team, una de las empresas de spyware más controvertidas del mundo, y estaba publicando todo: correos electrónicos internos, código fuente de su producto estrella, facturas, listas de clientes, contratos con gobiernos, exploits zero-day funcionales y credenciales de acceso.
El autor se identificaba como Phineas Fisher, el mismo hacktivista que un año antes había filtrado 40 GB de FinFisher/Gamma Group, otra empresa del sector. La filtración de Hacking Team fue un terremoto que expuso por primera vez la escala real de la industria de vigilancia comercial.
Hacking Team: el negocio de vender espionaje
Hacking Team fue fundada en 2003 en Milán por David Vincenzetti y Valeriano Bedeschi. Inicialmente ofrecían servicios de pentesting, pero pronto pivotaron hacia un producto mucho más lucrativo: software de vigilancia para gobiernos.
Su producto principal era RCS (Remote Control System), también conocido internamente como Galileo o Da Vinci según la versión. RCS era una plataforma completa de espionaje digital que permitía a sus clientes gubernamentales infectar y controlar dispositivos de objetivos específicos.
La arquitectura de RCS
A diferencia del malware convencional, RCS tenía una arquitectura empresarial modular con componentes diferenciados:
| Componente | Función |
|---|---|
| Master Node | Base de datos central con toda la inteligencia recopilada |
| Collector | Servidor C2 que recibía datos de los agentes instalados en dispositivos |
| Console | Interfaz gráfica para que los operadores gestionaran objetivos y campañas |
| Injector | Módulo de infección: podía inyectar el agente vía red Wi-Fi, USB, exploit o ingeniería social |
| Agent | El implante que se ejecutaba en el dispositivo del objetivo |
Capacidades técnicas del agente RCS
El agente RCS era un spyware de grado militar con capacidades que cubrían prácticamente todas las funciones de un dispositivo:
| Capacidad | Detalle |
|---|---|
| Keylogging | Registro de todas las pulsaciones de teclado, incluyendo contraseñas |
| Captura de pantalla | Screenshots periódicos o bajo demanda (T1113) |
| Activación de micrófono | Grabación ambiental sin indicador visible para el usuario |
| Activación de cámara | Captura de fotos o vídeo desde la cámara del dispositivo |
| Extracción de archivos | Descarga selectiva de documentos del dispositivo (T1005) |
| Interceptación de comunicaciones | Skype, WhatsApp, Viber, chats de redes sociales |
| Rastreo GPS | Ubicación en tiempo real del dispositivo |
| Acceso a contactos y calendario | Copia completa de la agenda y eventos |
| Acceso al correo electrónico | Lectura de emails, incluyendo borradores |
El agente funcionaba en Windows, macOS, Linux, iOS, Android, Windows Phone y BlackBerry. En iOS, el agente podía funcionar tanto en dispositivos con jailbreak como sin él (usando certificados enterprise para la instalación).
La filtración: 400 GB que cambiaron la industria
Cómo entró Phineas Fisher
En abril de 2016, Phineas Fisher publicó una guía detallada de 14.000 palabras explicando cómo realizó la intrusión. El acceso inicial se produjo el 22 de mayo de 2015, explotando un zero-day en un dispositivo embebido de la red perimetral de Hacking Team.
Una vez dentro, Fisher se movió lateralmente durante semanas. Encontró bases de datos MongoDB sin autenticación que contenían archivos de audio capturados por el spyware de Hacking Team. También localizó dos dispositivos NAS (Synology) que almacenaban backups sin protección, accesibles vía iSCSI sin credenciales.
El 6 de junio, Fisher comprometió las cuentas de los dos administradores de sistemas de Hacking Team, obteniendo acceso total a la infraestructura interna. Copió 290 GB de datos ese mismo día. El 5 de julio publicó todo.
Qué contenía la filtración
| Categoría | Contenido | Impacto |
|---|---|---|
| Correos electrónicos | Años de comunicaciones internas, negociaciones con clientes, discusiones sobre ética | Revelaron que la empresa sabía que sus clientes abusaban del software |
| Código fuente de RCS | Código completo del agente, collector, console y módulos de infección | Permitió a investigadores analizar las capacidades reales del spyware |
| Lista de clientes | Contratos y facturas con gobiernos de todo el mundo | Expuso ventas a regímenes con historial de abusos de derechos humanos |
| Zero-days | Exploits funcionales para Adobe Flash y Windows kernel | Fueron integrados en kits de exploit en días, afectando a millones de usuarios |
| Credenciales | Contraseñas internas (muchas extremadamente débiles) | El propio Vincenzetti usaba "P4ssword" como contraseña |
La lista de clientes: el dato más explosivo
Los documentos revelaron que Hacking Team vendía RCS a una lista de clientes que incluía países con historial documentado de represión política:
| País | Contexto de derechos humanos | Coste documentado |
|---|---|---|
| Sudán | Conflicto en Darfur, sanciones de la ONU vigentes | ~480.000 EUR |
| Etiopía | Persecución de periodistas y opositores | Contrato activo |
| Arabia Saudita | Restricciones a la libertad de expresión | Contrato activo |
| Emiratos Árabes Unidos | Activista Ahmed Mansoor vigilado con RCS | Contrato activo |
| Kazajistán | Represión de disidencia política | Contrato activo |
| Marruecos | Vigilancia de periodistas independientes | Contrato activo |
| México | Vigilancia de periodistas y activistas, no solo criminales | Múltiples contratos estatales |
| Egipto | Represión post-Primavera Árabe | Contrato activo |
El caso de Ahmed Mansoor, activista de derechos humanos de los Emiratos Árabes Unidos, fue emblemático. Citizen Lab de la Universidad de Toronto había documentado en 2012 que su dispositivo estaba infectado con RCS de Hacking Team. Más tarde, en 2016, Mansoor también fue objetivo de Pegasus de NSO Group. En 2017 fue arrestado y condenado a 10 años de prisión por "difamar" a los EAU en redes sociales.
Hacking Team había negado repetidamente vender a regímenes represivos. Los correos internos demostraron que mentían: existían discusiones internas sobre los riesgos reputacionales de vender a Sudán, pero la decisión siempre fue continuar.
Los zero-days: de herramientas de vigilancia a armas masivas
La parte más inmediatamente peligrosa de la filtración no fue la lista de clientes, sino los exploits zero-day funcionales que contenía.
Exploits revelados
| CVE | Software | Tipo | Tiempo hasta explotación masiva |
|---|---|---|---|
| CVE-2015-5119 | Adobe Flash Player | Use-after-free en ActionScript 3 | Menos de 48 horas |
| CVE-2015-5122 | Adobe Flash Player | Use-after-free en DisplayObject | 3 días |
| CVE-2015-2387 | Windows kernel (atmfd.dll) | Escalada de privilegios local | 1 semana |
El CVE-2015-5119 fue el más devastador. Era un exploit de ejecución remota de código en Adobe Flash Player que afectaba a todos los navegadores principales. En menos de 48 horas tras la filtración, los kits de exploit Angler, Nuclear Pack y Neutrino lo habían integrado para distribuir ransomware, troyanos bancarios y otro malware a millones de usuarios.
Adobe tuvo que lanzar un parche de emergencia el 8 de julio, tres días después de la filtración. Pero para entonces, el exploit ya estaba siendo utilizado activamente en campañas masivas. Este incidente aceleró la decisión de los navegadores de abandonar Flash Player, un proceso que culminó con su muerte definitiva en diciembre de 2020.
Técnicas MITRE ATT&CK en el ecosistema Hacking Team
| Técnica | ID | Uso en el contexto |
|---|---|---|
| Phishing | T1566 | Vector de infección inicial de RCS: emails con adjuntos o enlaces que instalaban el agente |
| Exploitation for Client Execution | T1203 | Zero-days de Flash y Windows kernel usados para instalar RCS sin interacción del usuario |
| Data from Local System | T1005 | Extracción de archivos, documentos y bases de datos del dispositivo infectado |
| Screen Capture | T1113 | Capturas de pantalla periódicas del dispositivo del objetivo |
La industria detrás de la cortina: surveillance-as-a-service
Hacking Team no era un caso aislado. La filtración de 2015 iluminó una industria global que operaba en las sombras.
Los precursores
FinFisher/Gamma Group (Alemania/Reino Unido) fue una de las pioneras. Su producto FinSpy aparecía en documentos filtrados por WikiLeaks en 2011 (SpyFiles). Citizen Lab documentó su uso en Bahréin, Etiopía, Turkmenistán y otros países. En agosto de 2014, Phineas Fisher hackeó Gamma Group y filtró 40 GB de datos, incluyendo el código fuente de FinSpy. Era el ensayo general antes de Hacking Team.
NSO Group y Pegasus: la evolución extrema
Si Hacking Team representaba la primera generación de spyware comercial, NSO Group (Israel, fundada en 2010) representó la evolución hacia capacidades que antes solo poseían los servicios de inteligencia de las superpotencias.
Su producto Pegasus alcanzó notoriedad por una capacidad que RCS no tenía: exploits zero-click. No requería que el objetivo hiciera nada. Ni abrir un enlace, ni descargar un adjunto. Un mensaje invisible de iMessage o WhatsApp bastaba para comprometer un iPhone completamente actualizado.
| Hito | Fecha | Detalle |
|---|---|---|
| Primera versión de Pegasus | 2011 | Desarrollo inicial por Shalev Hulio, Omri Lavie y Niv Karmi |
| Primer caso documentado | Agosto 2016 | Ahmed Mansoor (EAU) recibe SMS con enlace Pegasus. Citizen Lab lo analiza |
| Exploit WhatsApp | Mayo 2019 | Zero-click vía llamada de WhatsApp. 1.400 dispositivos comprometidos |
| Proyecto Pegasus | Julio 2021 | Consorcio de medios revela 50.000 números de teléfono seleccionados como objetivos |
| Apple demanda a NSO | Noviembre 2021 | Apple presenta demanda federal por el exploit FORCEDENTRY |
| Entity List de EE.UU. | Noviembre 2021 | NSO Group y Candiru añadidas a la lista de entidades restringidas |
| Condena judicial Meta vs NSO | Mayo 2025 | Jurado condena a NSO a pagar 167 millones de dólares a Meta/WhatsApp |
La conexión con Jamal Khashoggi
Uno de los casos más graves vinculados a NSO Group es el del periodista saudí Jamal Khashoggi, asesinado en el consulado de Arabia Saudita en Estambul el 2 de octubre de 2018. Investigaciones de Citizen Lab y Amnistía Internacional revelaron que personas del entorno cercano de Khashoggi habían sido infectadas con Pegasus antes del asesinato. Su prometida, Hatice Cengiz, y Omar Abdulaziz, un disidente saudí con quien Khashoggi se comunicaba, fueron objetivos confirmados de Pegasus.
NSO Group negó cualquier vinculación con el asesinato, pero el caso se convirtió en el símbolo de los peligros del spyware comercial sin controles.
Otros actores de la industria
| Empresa | País | Producto | Estado |
|---|---|---|---|
| FinFisher/Gamma Group | Alemania/UK | FinSpy | Declaró insolvencia en 2022 tras investigación judicial alemana |
| NSO Group | Israel | Pegasus | Operativa, múltiples demandas y sanciones |
| Candiru | Israel | DevilsTongue | Añadida a Entity List de EE.UU. (2021) |
| Cytrox | Macedonia del Norte | Predator | Investigada por el Parlamento Europeo (comité PEGA, 2022) |
| QuaDream | Israel | REIGN | Cerró en 2023 tras investigación de Citizen Lab |
| Intellexa | Consorcio europeo | Predator (adquirido de Cytrox) | Añadida a Entity List de EE.UU. (2023) |
| Paragon Solutions | Israel | Graphite | Identificada en 2024, capacidades zero-click similares a Pegasus |
Phineas Fisher: hacktivismo contra la vigilancia
Phineas Fisher es una figura singular en la historia de la ciberseguridad. Su identidad sigue siendo desconocida en 2026, y nunca ha sido arrestado ni procesado.
Cronología de sus acciones
- Agosto 2014: hackea Gamma Group/FinFisher, filtra 40 GB incluyendo código fuente de FinSpy
- Julio 2015: hackea Hacking Team, filtra 400 GB de datos completos de la empresa
- Abril 2016: publica "Hack Back! A DIY Guide for Those Without the Patience to Wait for Whistleblowers", una guía técnica detallada de 14.000 palabras explicando cómo realizó la intrusión a Hacking Team
- 2016: hackea el Sindicat de Mossos d'Esquadra (sindicato de la policía catalana) y filtra datos sobre actuaciones policiales
Su guía "Hack Back!" describía paso a paso las técnicas utilizadas: explotación de un dispositivo embebido en el perímetro, movimiento lateral a través de bases de datos no autenticadas, compromiso de cuentas de administradores, y exfiltración masiva. La publicó como un acto deliberado de transparencia, argumentando que las herramientas y técnicas para hackear empresas de vigilancia debían ser de conocimiento público.
Fisher declaró explícitamente que su motivación no era económica ni personal, sino política: denunciar la venta de herramientas de represión a gobiernos autoritarios.
Consecuencias y regulación
La filtración de Hacking Team, combinada con los escándalos posteriores de NSO Group, provocó cambios regulatorios significativos:
Regulación europea
La Unión Europea actualizó su Reglamento de doble uso (Reglamento 2021/821), que entró en vigor en septiembre de 2021. Este reglamento clasifica la tecnología de vigilancia cibernética como bien de doble uso, requiriendo autorizaciones de exportación y evaluaciones de derechos humanos antes de vender a terceros países.
Acciones de Estados Unidos
En noviembre de 2021, el Departamento de Comercio de EE.UU. añadió a NSO Group, Candiru, Positive Technologies y CSIC a su Entity List, restringiendo su acceso a tecnología y componentes estadounidenses. En 2023, Intellexa fue añadida a la misma lista. En marzo de 2023, la administración Biden firmó una orden ejecutiva que prohibía el uso de spyware comercial por parte de agencias federales.
Respuesta de la industria tecnológica
Apple demandó a NSO Group en noviembre de 2021 y desarrolló Lockdown Mode (2022), un modo de protección extrema en iOS para personas en riesgo de ataques dirigidos. WhatsApp/Meta demandó a NSO en 2019, obteniendo una condena de 167 millones de dólares en mayo de 2025.
Legado: lo que Hacking Team nos enseñó
La filtración de Hacking Team de 2015 fue el primer momento en que el público general pudo ver con documentos reales (no con alegaciones ni sospechas) que existía una industria multimillonaria dedicada a vender herramientas de espionaje a gobiernos, sin controles efectivos sobre cómo se usaban.
Diez años después, la industria sigue activa. Las empresas quiebran, cambian de nombre o son sancionadas, pero nuevos actores las reemplazan. La demanda gubernamental de capacidades de vigilancia digital no ha disminuido. Lo que sí cambió es la transparencia: gracias al trabajo de Citizen Lab, Amnistía Internacional, Access Now y los periodistas del Proyecto Pegasus, el coste reputacional y legal de abusar de estas herramientas es hoy significativamente mayor.
Hacking Team nunca se recuperó de la filtración. Fue adquirida en 2019 por InTheCyber Group y renombrada como Memento Labs, intentando distanciarse del escándalo. Su legado, sin embargo, es permanente: demostró que las empresas que venden vigilancia no son inmunes a ser vigiladas.
Artículo #15 de la serie "Historia del Malware" de MalwareIntel. Datos extraídos de fuentes públicas: Citizen Lab, WikiLeaks SpyFiles, Amnistía Internacional, Huntress, documentos judiciales Apple v. NSO Group y Meta v. NSO Group.
Preguntas frecuentes
Libros recomendados
Artículos relacionados
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.