di Bruno Formicola
“Our democracy has been hacked”, così recita uno dei poster dell’acclamata serie Mr.Robot, inaugurata nel 2015 e attualmente alla sua seconda stagione. Se nella serie l’espressione ha puro senso figurativo – attraverso la malefica E(vil) Corp il capitalismo finanziario ha “fatto a pezzi” (to hack) la democrazia sottraendo il potere alla popolazione – questo assume un significato diverso in Sud America, dove negli ultimi otto anni il lavoro di Andrés Sepúlveda ha segnato le sorti di numerose elezioni presidenziali.
Il trentunenne hacker colombiano, cresciuto in una cittadina a nord della capitale Bogotà, ha compromesso le campagne politiche di mezza America Latina: Nicaragua, Panama, Honduras, El Salvador, Colombia, Messico, Costa Rica, Guatemala e Venezuela, tutti paesi dove ha illegalmente operato insieme ai suoi team. Oggi sta scontando una pena di dieci anni dopo essersi dichiarato colpevole di hacking, spionaggio, violazione di dati personali e altri crimini in relazione alle elezioni presidenziali colombiane del 2014; ha deciso di raccontare la sua storia ai giornalisti di Bloomberg Businessweek, che lo scorso marzo hanno pubblicato il suo ritratto in esclusiva.
Sepúlveda imparò a programmare a quindici anni grazie all’aiuto di un amico dopo essere stato bocciato a scuola ed essersi iscritto ad un istituto di tecnologia locale. Nel 2005 le sue abilità furono notate dal rinomato consulente politico – e suo futuro datore di lavoro – Juan José Rendón in occasione di una sua visita alla sede del partito dove suo fratello lavorava come pubblicista; il partito era alleato con l’allora presidente di centrodestra Alvaro Uribe, considerato un eroe dai due fratelli in quanto strenuo oppositore del “socialismo del ventunesimo secolo” alla Chávez e delle FARC (Forze Armate Rivoluzionarie della Colombia).
Motivato sia ideologicamente che economicamente, il primo lavoro di Sepúlveda consistette nell’infiltrarsi nel database appartenente ad un oppositore di Uribe e rubare una serie di account e-mail, ai quali poi avrebbe inviato informazioni false sotto forma di spam. Per un mese di lavoro ricevette un compenso di 15mila dollari, una cifra cinque volte superiore ai suoi precedenti guadagni da web designer.
Seppure abbia ammesso di conoscere Sepúlveda, Rendón sostiene di non avergli commissionato alcun lavoro illegale e che sia estraneo ad ogni crimine da lui commesso; come prova per mostrare il coinvolgimento di Rendón, Sepúlveda ha fornito alcune conversazioni e-mail riguardanti un cyber attacco: il consulente politico sostiene che siano false, ma un’azienda di sicurezza informatica indipendente che le ha analizzate ritiene che siano autentiche.
Sepúlveda nutriva una profonda ammirazione per Rendón, lo considerava suo mentore. Riconobbe in lui la capacità di aver compreso piuttosto in anticipo l’importanza della figura dell’hacker, le cui abilità potevano essere sfruttate per manipolare le campagne politiche. Entrambi erano alla ricerca di denaro e nutrivano disprezzo nei confronti dei movimenti di sinistra latinoamericani: ebbe inizio quella che sarebbe stata una lunga e fruttuosa collaborazione.
“Quando ho realizzato che le persone credono più a quello che è scritto su internet più che alla realtà, ho scoperto di avere il potere di far credere alle persone quasi tutto” dice Sepúlveda, che conscio dell’influenza dei social network mise a punto un software che chiamò Social Media Predator attraverso il quale poteva “comandare” un esercito di account falsi su Twitter creando social trend, seminando informazioni false e impostando gli oggetti dei dibattiti virtuali a suo piacimento. Il software gli permetteva di cambiare nome, foto e impostazioni degli account che gestiva, in modo tale da adattarli al contesto della prossima operazione. Sepúlveda ha portato avanti vere e proprie operazioni di ingegneria sociale su vasta scala nel territorio tradizionalmente associato a caudillos, golpe e di giunte militari, nel silenzio più assoluto e dietro lauti compensi.
Le comunicazioni tra lui e Rendón avvenivano tramite e-mail con l’utilizzo di un linguaggio in codice, oppure attraverso telefoni criptati che venivano sostituiti ogni due mesi. A lavoro terminato i file e gli oggetti più sensibili come e-mail, liste degli obiettivi, chiavi usb, hardisk e telefoni andavano distrutti completamente.
In Honduras Sepúlveda ebbe il compito di difendere i sistemi informatici del candidato alla presidenza Porfirio Lobo Sosa dagli hacker dell’avversario, mentre in Guatemala dovette intercettare le comunicazioni di alcuni uomini d’affari; il lavoro gli fu commissionato dai conservatori del Partito dell’Avanzata Nazionale, ma questi negano di aver assunto Rendón e utilizzato i suoi servizi. Spinto dalla sua idiosincrasia verso il socialismo, colpì anche il Venezuela a titolo completamente gratuito, violando il sito internet di Chávez e in seguito l’account Twitter dell’erede Nicolas Maduro, dove pubblicò accuse di frode elettorale. L’operazione più complessa avvenne durante quella che lui definisce una delle campagne più sporche della storia recente dell’America Latina: le elezioni presidenziali messicane del 2012. Sepúlveda e il suo team lavorarono per conto del Partito Rivoluzionario Istituzionale (PRI) di centro e il suo candidato Enrique Peña Nieto, la cui vittoria era minacciata sia da sinistra – dal Partito della Rivoluzione Democratica (PRD) – che da destra – dal Partito Azione Nazionale (PAN). Con un budget di 600mila dollari lui e il suo team avevano ampia libertà d’azione per agire su più fronti con la migliore strumentazione possibile: installarono malware nei router dei quartier generali degli altri due candidati e intercettarono le loro mosse attraverso i membri dello staff che si connettevano a tali reti, venendo quindi a conoscenza in anticipo dei futuri piani delle campagne oltre che dei discorsi dei candidati. Per incrementare l’efficienza, Sepúlveda acquistò un software russo dal valore di 50mila dollari in grado di velocizzare l’hacking dei telefoni Android, Apple e BlackBerry. Sul fronte social media Sepúlveda aveva a sua disposizione 30mila account falsi che utilizzò per diffondere messaggi a favore di Peña Nieto – come le sua promessa di eliminare la violenza legata alla droga – e colpire gli avversari: creò e alimentò la voce secondo cui più il candidato del PRD sarebbe salito nei sondaggi, più il peso (la moneta locale) avrebbe perso valore. L’utilizzo della stabilità monetaria come topic da parte dell’hacker colombiano non era casuale: era uno dei punti deboli della campagna del PRD, scoperto grazie all’hacking del suo quartier generale. Appresa la vittoria di Peña Nieto, Sepúlveda si affrettò ad eliminare tutto il materiale che avrebbe potuto compromettere il suo lavoro.
In una campagna politica nello swing state di Jalisco, sempre per conto del PRI, Sepúlveda utilizzò un software per chiamare a casa decine di migliaia di elettori durante la notte delle elezioni (alle tre di mattina). Una volta risposto alla chiamata, le persone avrebbero ascoltato un messaggio pre-registrato da parte del candidato di sinistra Enrique Alfaro Ramírez, principale avversario politico locale del PRI. Alfaro perse le elezioni per uno scarto di voti minimo, forse abbandonato da qualche elettore risentito dalla chiamata nel bel mezzo della notte.
Nello stato di Tabasco Sepúlveda tentò di alienare la base elettorale del PAN creando numerosi account Facebook di persone apparentemente omosessuali che appoggiavano il candidato conservatore e cattolico del partito; “Ho sempre sospettato che ci fosse qualcosa sotto”, ha detto il candidato Gerardo Priego una volta venuto a conoscenza delle confessioni dell’hacker.
Il PRI non ha risposto alle domande di Bloomberg Businessweek, ma un portavoce ha assicurato di non aver mai assunto Rendón per le campagne del partito, mentre quest’ultimo afferma di lavorare per candidati del PRI da 16 anni.
Il colpo che fece affondare Sepúlveda avvenne nella sua Colombia. Il presidente Juan Manuel Santos, succeduto ad Alvaro Uribe, mostrò un approccio più pacifico nei confronti delle FARC rispetto al predecessore e inaugurò nuovi colloqui di pace per porre fino alla guerra che contrapponeva le due parti da cinquant’anni. Uribe, da sempre molto duro nei confronti delle FARC, creò un partito e ne appoggiò il candidato Oscar Iván Zuluaga che si opponeva alla conciliazione. Rendón era sul libro paga di Santos e chiese a Sepúlveda di far parte del suo team anche in questa occasione. Per Súpulveda i principi avevano sempre avuto la precedenza sul denaro: se fosse stato il contrario, sostiene, avrebbe preso di mira sistemi finanziari; l’hacker rifiutò di lavorare con lui, sentendosi anche tradito da quello che fino a poco prima era stato il suo mentore, e decise invece di offrire i suoi servizi a Zuluaga. Violò telefoni e account e-mail di più di cento miliziani delle FARC (compreso il leader Rodrigo Londoño) e insieme al manager della campagna Hoyos fabbricò prove false con l’intento di dimostrare che i rivoluzionari stavano continuando a trafficare droga e commettere violenze nonostante i tentativi di riconciliazione. Decise di accompagnare Hoyos agli uffici di una TV locale di Bogotà per rendere pubbliche le “prove”; il mese successivo fu tratto in arresto.
Intanto questo 24 agosto lo stato colombiano e le FARC sono giunti finalmente ad un accordo dopo quattro anni di difficili negoziati: la vittoria del presidente Santos è una sconfitta per Sepúlveda.
L’hacker crede che a costargli la libertà sia stata la sua avventatezza in quella stazione televisiva e che qualcuno abbia fatto una soffiata. Inimicatosi politici, criminali della droga e collaboratori di cui ha fatto i nomi, ora Sepúlveda ha costantemente bisogno di una scorta anche se prigioniero. Da quando alcuni uomini armati di coltelli e rasoi hanno provato ad ucciderlo – e dopo che è girata voce di un complotto per ucciderlo con una pistola silenziata durante la notte – è stato trasferito in una struttura di massima sicurezza e messo in isolamento, dove dorme avvolto da vesti e coperte antiproiettile.
Il patteggiamento prevede che aiuti il governo a rendere note ulteriori azioni illecite da parte di Zuluaga e di Hoyos, che apparentemente è fuggito a Miami, oltre che a rintracciare i membri di alcuni cartelli della droga.
“Ho lavorato con presidenti, personaggi pubblici con grande potere, e fatto molte cose senza rimpianti perché le ho fatte con la piena convinzione e con un chiaro obiettivo, porre fine alla dittatura e ai governi socialisti in America Latina”, sostiene, “Ho sempre detto che ci sono due tipi di politica – quella che le persone vedono e quella che fa sì che le cose accadano. Io lavoravo nella politica che non si vede”.
Grazie ad un accordo con il procuratore generale, Sepúlveda dispone di un computer con accesso a Internet. Con il suo software Social Media Predetor, che ha modificato e migliorato, è stato in grado di identificare alcuni account Twitter di reclutatori dell’ISIS appena questi sono stati creati. Ora l’hacker spera di condividere le informazioni con la coalizione anti-Daesh per sconfiggere il gruppo fondamentalista.
Quando gli è stato chiesto se le attuali elezioni presidenziali statunitensi siano compromesse in questo senso, non ha avuto alcun dubbio: “Sono sicuro al cento per cento che lo siano”. David Maynor, titolare di un’azienda di sicurezza negli Stati Uniti, concorda con lui: “Queste cose succedono anche negli USA, e succedono sempre”.