Decenas de miles de correos electrónicos, documentos confidenciales, direcciones, agendas, comunicaciones profesionales y también privadas… El Parlamento Europeo tendrá que cambiar radicalmente el sistema de seguridad del servidor de correo electrónico de todos los eurodiputados. Un hacker acaba de demostrar la frágil seguridad de los servidores del Parlamento.
Según ha podido constatar Mediapart, este hacker ha logrado, en los últimos meses y de forma regular, acceder a los e-mails que recibieron 14 diputados, asistentes parlamentarios y empleados europeos que, previamente, había seleccionado de forma aleatoria para dejar en evidencia de este modo el grave fallo de seguridad, tras colarse en el software del correo de Microsoft Exchange, que es el que se utiliza en el Parlamento Europeo. Los diputados, cuyas cuentan han sido hackeadas, son :
Markus Pieper (Alemania, PPE/CDU),
Jean-Jacob Bicep (Francia, Verdes),
Maurice Ponga (Francia, UMP),
Constance Le Grip (Francia, UMP),
Ana Gomes (Portugal, Socialista),
Aldo Patriciello (Italia, El pueblo de la Libertad).
Los asistentes parlamentarios espiados son :
Sonia Léa Rouahbi y Melanie Vogel (Jean-Jacob Bicep)
Ivan Forte (Aldo Patriciello),
Alexandra Carreira (Ana Gomes),
Perrine Orosco (Maurice Ponga).
La colaboradora de un grupo político es :
Céline Bayer (Socialistas y demócratas).
Los dos empleados del Parlamento que trabajan en los servicios informáticos son :
Dimitrios Symeondis,
Antonio Inclan.
« Ha sido un juego de niños », según ha reconocido a Mediapart el pirata informático. « Con un ordenador portátil de gama baja con conexión Wi-Fi y algunas nociones de informática que están al alcance de todo el mundo en internet, cualquiera puede hacer algo así. » El hacker solo necesitó instalarse en un sitio público cercano al Parlamento de Estrasburgo, situarse cerca de los diputados para, a continuación, ponerse manos a la obra. El único aspecto un poco técnico consistió en « arreglárselas para que los móviles –de los eurodiputados– se conectaran a internet a través de la Wi-Fi de mi ordenador ».
Llegados a ese punto, la obtención de los datos fue tan sencillo que resulta abrumador. Buena parte de los smartphones de los eurodiputados están efectivamente equipados con una aplicación de Microsoft que se llama « Active Sync » que, regularmente, se conecta a los servidores de correo del Parlamento para comprobar si el usuario ha recibido mensajes nuevos. Ahora bien, en esta aplicación, se graban el nombre de usuario y la contraseña. En caso de problemas, y especialmente ante un intento de intrusión, en el teléfono aparece un mensaje de error « al que mucha gente da a “aceptar” sin haberlo llegado a leer », explica el hacker. « Lo que permite al portátil, que se encuentra en medio, desencriptar las comunicaciones, antes de volverlas a encriptar y enviarlas al verdadero servidor. »
Concretamente, al lograr situarse entre el móvil y el servidor de Microsoft Exchange, el atacante obtiene el nombre de usuario y la contraseña de las personas objeto del ataque, de modo que tiene acceso inmediato a la totalidad de lo almacenado en la cuenta, es decir, al conjunto de los correos recibidos y enviados, a las agendas personales y « con un pequeño esfuerzo », también a los ficheros que eventualmente pueden encontrarse guardados en las cuentas personales de la red del Parlamento Europeo.
Gracias a este método, todo estos datos especialmente sensibles quedan en manos de « prácticamente cualquiera »… Uno de los aspectos que más inquietan en la acción de este pirata es, quizás, la simplicidad con el que se ha llevado a cabo, puesto que se ataca a los móviles de personas que utilizan un punto de acceso Wi-Fi. Por tanto, puede llevarse a cabo desde cualquier punto. Con independencia de que los diputados se encuentren en Estrasburgo, en China o en Washington, basta con instalarse cerca de ellos, con un ordenador, esperar que algunos cometan la imprudencia de darle al botón de “aceptar”, en el momento que aparece el mensaje y el intruso ya tiene vía libre para acceder a todos sus datos.
Leer más
Mediapart ha constatado que el hacker se ha limitado a husmear en los « mensajes recibidos » de 14 diputados, asistentes parlamentarios y empleados del Parlamento Europeo. No ha copiado ningún otro mensaje ni tampoco informaciones personales. Su intención no era otra que la de lanzar, por ejemplo, un mensaje político al hacer de la vulnerabilidad de la seguridad informática, un asunto central en las próximas elecciones europeas.
« Por una parte, hay ciudadanos que, a día de hoy, no saben prácticamente nada de lo que sucede entre bambalinas en estas instituciones, de las relaciones del mundo político y económico… Y, por otro lado, tenemos agencias de inteligencia con un poder casi omnisciente que, gracias al espionaje, pueden decidir el futuro de un hombre político o influir sobre las decisiones que este toma », explica. « Si, con un material tan rudimentario, es posible colarse en la red de comunicación de los responsables políticos encargados de la toma de decisiones de la política europea, ¿ qué tenemos que pensar de nuestro proceso democrático ? Las bases del mismo quedan en entredicho. »
A pesar de que se han multiplicado las revelaciones sobre el espionaje mundial llevado a cabo por EEUU, nuestros responsables políticos parece que todavía no han tomado conciencia de la magnitud y alcance del problema. « Tengo la impresión de estar ante unos peleles », afirma el hacker, que explica haber querido « hacerles reaccionar » para « que tomen conciencia » y « quién sabe, si se logra mejorar las cosas para la próxima legislatura ». Más allá de « los comportamientos catastróficos », en materia de seguridad, de algunos diputados, el pirata informático denuncia también que se haya elegido a la compañía Microsoft como proveedor del servicio, lo que hace « casi imposible el cifrado de las comunicaciones debido a que se trata de un sistema propietario que excluye al software estándar ».