'Catalangate', el software espía utilizado contra políticos catalanes
Los investigadores del Citizen Lab afirman que los teléfonos de decenas de funcionarios se vieron comprometidos por un software espía vendido por el Grupo NSO o Candiru. El primer ministro y el Ministerio de Asuntos Exteriores del Reino Unido también se vieron afectados.
Investigadores del Citizen Lab de la Universidad de Toronto revelaron dos hallazgos significativos que ponen de manifiesto el uso generalizado de aplicaciones de software espía mercenarias israelíes. Nuevos resultados forenses descubrieron que los teléfonos de catalanes fueron atacados en España y que el software espía también afectó al Primer Ministro y las oficinas de Asuntos Exteriores y de la Commonwealth en el Reino Unido.
Estas revelaciones también se publicaron en una larga investigación del periodista Ronan Farrow en la revista estadounidense New Yorker. El reportaje de Farrow ofrece nuevos detalles sobre el auge de la industria del software espía, los problemas a los que se enfrentan los proveedores de este tipo de aplicaciones, los esfuerzos de las empresas tecnológicas para eludir estos sofisticados software malicioso y las acciones previstas por la administración de Biden en relación con esta tendencia.
El esfuerzo por implantar programas espía abarca un amplio espectro en Cataluña
En lo que se denomina como ‘Catalangate’, el Citizen Lab, en colaboración con grupos de la sociedad civil catalana, identificó al menos a 65 individuos de un amplio espectro de la sociedad en Cataluña que fueron objetivo de un software espía mercenario en "un esfuerzo extremadamente bien informado y generalizado para vigilar los procesos políticos catalanes". Sesenta y tres de estas personas fueron infectadas por el programa espía Pegasus del Grupo NSO, mientras que cuatro fueron atacadas por un programa espía fabricado por un rival de NSO, la empresa israelí Candiru. Además, se confirmaron otras 51 víctimas infectadas con Pegasus mediante pruebas forenses en sus teléfonos.
Miembros del Parlamento Europeo, presidentes catalanes, legisladores, juristas, miembros de organizaciones civiles y algunos de sus familiares fueron objetivo del programa espía. Casi todos los incidentes se produjeron entre 2017 y 2020, aunque el Citizen Lab encontró un caso de ataque en 2015. Debido a que España tiene más usuarios de Android que de iOS, y las herramientas forenses del Citizen Lab están mucho más desarrolladas para este último sistema operativo, la organización cree que su informe subestima en gran medida el número de individuos que probablemente fueron blanco de Pegasus.
Todos los diputados catalanes que apoyaron la independencia fueron atacados directamente con Pegasus o a través de un objetivo relacional. Tres de ellos fueron infectados directamente, y otros dos tuvieron a su personal, miembros de su familia o asociados cercanos como objetivos de Pegasus.
Varias organizaciones de la sociedad civil catalana que apoyan la independencia política de Cataluña también fueron atacadas con Pegasus, entre ellas Òmnium Cultural y la Assemblea Nacional Catalana (ANC). Los catalanes que trabajan en las comunidades de código abierto y voto digital también fueron objeto de ataques. Además, los abogados que representan a catalanes prominentes fueron atacados e infectados con Pegasus.
Las técnicas incluían un nuevo exploit de clic cero llamado Homage
Los atacantes catalanes infectaron a las víctimas de Pegasus a través de al menos dos técnicas: exploits de clic cero y mensajes SMS maliciosos. Los exploits de clic cero son difíciles de defender, ya que no requieren que las víctimas realicen ninguna actividad.
El Citizen Lab descubrió un nuevo exploit, no descrito anteriormente, llamado Homage que parece haber estado en uso durante los últimos meses de 2019. Homage se disparó en al menos seis fechas entre 2019 y 2020 y no se utilizó contra dispositivos con versiones de iOS superior a la 13.1.3. El organismo reportó el exploit a Apple y dijo que no tiene evidencia que sugiera que los usuarios de dispositivos iOS actualizados estén en riesgo.
Otro exploit de clic cero desplegado fue KISMET, un día cero utilizado contra iOS 13.5.1 y iOS 13.7 durante el verano de 2020. Aunque el exploit nunca fue capturado ni documentado, parece que se solucionó en los cambios introducidos en iOS 14, incluyendo el marco BlastDoor, un nuevo sistema de seguridad que Apple adoptó en enero de 2021.
Fuerte nexo con el Gobierno español
Los ataques por SMS consistían en el envío de mensajes de texto convincentes que contenían enlaces maliciosos para engañar a los destinatarios y hacer que hicieran clic. Por ejemplo, Jordi Baylina, jefe de tecnología de Polygon, recibió un mensaje de texto que se hacía pasar por un enlace de tarjeta de embarque para un vuelo de Swiss International Air Lines que había comprado, lo que sugiere que los atacantes tenían acceso al registro de nombres de pasajeros de Baylina o a otra información recopilada de la compañía aérea.
El análisis de Citizen Lab sobre el software espía de Candiru demostró que éste estaba diseñado para obtener un amplio acceso al dispositivo de la víctima, como la extracción de archivos y contenido del navegador y el robo de mensajes guardados en la aplicación cifrada Signal Messenger Desktop. Tres de los objetivos de Candiru recibieron un correo electrónico de phishing malicioso a principios de febrero de 2020 con el emblema oficial del Gobierno de España y en el que se informaba de que la Organización Mundial de la Salud había declarado el COVID-19 como una "emergencia de salud pública de importancia internacional" en enero. Uno de los objetivos de Candiru recibió un correo electrónico en el que se hacía pasar por el Mobile World Congress (MWC) con un enlace para conseguir entradas.
Aunque el Citizen Lab no atribuye de forma concluyente estas operaciones de hackeo a un gobierno concreto, afirma que una serie de pruebas circunstanciales apuntan a un fuerte nexo con una o varias entidades del Gobierno español.
Emiratos Árabes, India, Chipre y Jordania vinculados a las infecciones del Reino Unido
Aunque el Citizen Lab se centra principalmente en las amenazas digitales a la sociedad civil, encontró casos en los que los gobiernos utilizan programas espía para llevar a cabo espionaje internacional contra otros gobiernos. En 2020 y 2021, la organización observó y notificó al Gobierno del Reino Unido múltiples casos sospechosos de infecciones de spyware Pegasus dentro de las redes oficiales del Reino Unido
Los casos del Reino Unido incluyen varios que afectan a la Oficina del Primer Ministro, de Asuntos Exteriores y de la Commonwealth. El Citizen Lab descubrió que los teléfonos conectados al Ministerio de Asuntos Exteriores fueron hackeados utilizando Pegasus en al menos cinco ocasiones desde julio de 2020 hasta junio de 2021.
La presunta infección en la Oficina del Primer Ministro del Reino Unido estaba asociada a un operador de Pegasus vinculado a los Emiratos Árabes. Las infecciones sospechosas relacionadas con la Commonwealth estaban asociadas a operadores de Pegasus que el Citizen Lab vincula a los Emiratos Árabes, India, Chipre y Jordania.
En su informe, el director del Citizen Lab, Ron Deibert, afirmó que “creemos que es de vital importancia que los esfuerzos [del Gobierno británico] [relacionados con la ciberpolítica] se desarrollen libres de la influencia indebida de los programas espía. Dado que un abogado con sede en el Reino Unido involucrado en una demanda contra el Grupo NSO fue hackeado con Pegasus en 2019, nos sentimos obligados a garantizar que el Gobierno del Reino Unido sea consciente de la amenaza de software espía en curso y tome las medidas adecuadas para mitigarla".
Casi todos los gobiernos europeos utilizan las herramientas de NSO
Además de revelar nuevos detalles y ofrecer una mayor perspectiva sobre las infecciones de spyware mercenario tanto del gobierno catalán como del británico, la investigación de Farrow en el New Yorker ofrece otras nuevas pistas relacionadas con la industria del software espía. Por ejemplo, el periodista comenzó entrevistando a Shalev Hulio, CEO del Grupo NSO, en 2019 y, desde entonces, ha tenido acceso al personal, las oficinas y la tecnología de la empresa.
Este pionero del software espía está contrarrestando numerosas demandas, lidiando con la deuda, luchando contra sus patrocinadores corporativos y fallando en la venta de sus productos a las fuerzas de seguridad de Estados Unidos. El año pasado, el Departamento de Comercio de Estados Unidos incluyó a NSO y a varios otros fabricantes de programas espía en una lista de entidades que tienen bloqueada la compra de tecnología de empresas estadounidenses sin licencia.
La empresa dijo a Farrow que había sido "el objetivo de una serie de organizaciones con motivaciones políticas, muchas de ellas con conocidos prejuicios anti israelíes", y añadió que "hemos cooperado repetidamente con las investigaciones gubernamentales, cuando las acusaciones creíbles lo merecen, y hemos aprendido de cada uno de estos hallazgos e informes y mejorado las salvaguardias de nuestras tecnologías."
La empresa también comentó a Farrow, en relación con las infecciones en el Reino Unido, que “la información que ha surgido en la investigación indica que estas acusaciones son, una vez más, falsas y no pueden estar relacionadas con los productos de NSO por razones tecnológicas y contractuales".
En tanto, Hulio confirmó a Farrow que “casi todos los gobiernos de Europa utilizan nuestras herramientas". Un ex alto funcionario de la inteligencia israelí dijo que "NSO tiene un monopolio en Europa. Las autoridades alemanas, polacas y húngaras han admitido utilizar Pegasus. Las autoridades belgas también lo utilizan, aunque no lo admiten".
El Gobierno de Biden lanza una revisión
Aunque el New York Times ya ha informado de que la CIA pagó para que Djibouti adquiriera Pegasus para luchar contra el terrorismo, Farrow revela una investigación no publicada anteriormente por WhatsApp que afirma que la tecnología también se utilizó contra miembros del propio Gobierno de Djibouti, incluido su Primer Ministro, Abdoulkadar Kamil Mohamed, y su ministro del Interior, Hassan Omar.
También revela que la administración de Biden está investigando otros ataques contra funcionarios estadounidenses. El año pasado, surgieron informes de que los iPhone de 11 personas que trabajaban para el Gobierno estadounidense en el extranjero, muchos de ellos en su embajada en Uganda, fueron hackeados utilizando Pegasus.
Además, la administración ha puesto en marcha una revisión de las amenazas que suponen las herramientas de hackeo comercial extranjeras. Además, la Casa Blanca le dijo a Farrow que también está estudiando "la prohibición de que el Gobierno de Estados Unidos compre o utilice programas comerciales de espionaje extranjeros que supongan riesgos de contrainteligencia y seguridad para el Gobierno de Estados Unidos o que hayan sido utilizados indebidamente en el extranjero".
