El año pasado, Facebook anunció que los usuarios de WhatsApp eran vulnerables a un exploit que podía hackear los teléfonos con solo unas pocas llamadas no contestadas. El nuevo exploit probablemente formaba parte de Pegasus, una suite de software espía desarrollada por NSO Group, con sede en Tel Aviv. Según WhatsApp y Citizen Lab, un centro de investigación de la Universidad de Toronto, la empresa puede hacerse con teléfonos y ordenadores de clientes gubernamentales muy bien pagados. El Departamento de Justicia de Estados Unidos dijo recientemente a Fast Company que está al tanto del exploit, pero un representante de la agencia no quiso comentar si lo están combatiendo activamente.
NSO es tal vez el fabricante de software espía para móviles más conocido, pero es sólo una de las muchas empresas turbias que ofrecen malware para teléfonos inteligentes que, aunque oficialmente sólo se dirige a delincuentes o terroristas, también se utiliza para vigilar a activistas, abogados y otros miembros de la sociedad civil. Una demanda reciente alega que la tecnología de Pegasus se utilizó para rastrear al disidente saudí asesinado Jamal Khashogg. Decenas de empresas de software espía ofrecen una gama de vigilancia de teléfonos inteligentes, desde la grabación de vídeo y audio hasta la localización y el seguimiento de textos, incluso de regímenes con dudosos historiales de derechos humanos. La tecnología ha sido utilizada, por ejemplo, por misteriosos elementos en países como Bahréin y Etiopía, que utilizaron el Sistema de Control Remoto de Hacking Team, con sede en Milán, y el software de espionaje FinFisher, de Gamma Group, con sede en el Reino Unido, respectivamente, para atacar a los disidentes dentro y fuera del país.
NSO ha negado rotundamente cualquier papel en el seguimiento de Khashoggi. El director general de la empresa, Shalev Hulio, declaró al periódico israelí Yedioth Ahronoth a principios de este año que “Khashoggi no fue rastreado por ningún producto o tecnología de NSO“. En enero, un portavoz de NSO dijo a Fast Company que las demandas no eran “más que un truco de relaciones públicas vacío para continuar con el bombo de propaganda contra el trabajo de NSO que ayuda a las agencias de inteligencia a luchar contra el crimen y el terrorismo en todo el mundo“.
Otras empresas son las israelíes Ability (antigua socia de NSO Group), Verint y Elbit Systems, que tienen clientes en todo el mundo, según la herramienta Surveillance Industry Index. En los últimos meses, una nueva alianza de algunas empresas públicas y no identificadas ha lanzado Intellexa. Un consorcio que espera desafiar a NSO Group y Verint en el floreciente mercado de la interceptación legal. A finales de mayo, Senpai, una “empresa de consultoría e R&D” especializada en soluciones de ciberinteligencia e AI se unió a Intellexa como su cuarto socio oficial (otros cinco no se han nombrado públicamente) por su experiencia en el análisis de datos basado en la AI.
Lo que más preocupa a la sociedad civil es la inseguridad jurídica que rodea a estas herramientas de espionaje. Mientras investigadores de seguridad como Citizen Lab siguen descubriendo casos de abuso y los abogados de las personas afectadas libran la batalla en los tribunales, los contratos federales para la venta y el uso de estas herramientas de espionaje móvil continúan sin apenas supervisión. El sector es un auténtico Salvaje Oeste de las ciberarmas sin ningún sheriff que proteja a cualquiera que tenga un smartphone.
Karsten Nohl, criptógrafo y director general de Security Research Labs, afirma que las herramientas de interceptación legítimas tienen dos dimensiones: ¿Es el smartphone un iPhone o no, y requiere el exploit la “ayuda” del usuario del teléfono? Por ejemplo, algunos exploits requieren que los usuarios -a pesar de las advertencias- instalen una actualización de seguridad que descarga el malware en su dispositivo. Según Nohl, los exploits más fáciles son los de los teléfonos Android, y los preferidos funcionan a través de Internet, mientras que otros sólo lo hacen por Wi-Fi. Según Nohl, NSO Group puede hackear la mayoría de las versiones del iPhone y muchos teléfonos Android, y esto suele hacerse de forma remota.
“Lo más difícil sería un exploit remoto de un iPhone, y por lo que veo, NSO Group tiene el monopolio la mayor parte del tiempo”, dice Nohl. “No hay nadie que pueda prometer un acceso continuo al iPhone sin la ayuda de los usuarios”.
Sin embargo, cuando se trata de cuestiones de vigilancia, gubernamental o comercial, muy a menudo no sabemos lo que no sabemos. Nohl afirma que un exploit para iPhone puede costar millones de dólares a un cliente. Un exploit para Android, en cambio, sólo cuesta cientos de miles de dólares. El ecosistema del iPhone es limpio, con un solo software para toda una gama de dispositivos, lo que favorece la investigación y el desarrollo de exploits altamente especializados, y de ahí los altos precios del mercado. El ecosistema de Android está mucho más fragmentado, lo que requiere menos esfuerzo para desarrollar exploits para diferentes fabricantes y teléfonos, pero más trabajo para mantener los exploits a lo largo del tiempo.
Apple se ha negado a comentar públicamente las capacidades de NSO u otros proveedores de software espía. En 2016, después de que una investigación de Citizen Lab sobre Pegasus llevara a Apple a lanzar un parche de seguridad para los iPhones, la compañía no especificó la razón o el culpable, ni se puso en contacto con grupos de derechos humanos. Ese mismo año, Google y la empresa de ciberseguridad Lookout dijeron que habían encontrado rastros de software espía NSO en “unas pocas docenas” de teléfonos inteligentes en 11 países, principalmente en Israel, México, Georgia y Turquía.
Hay opciones más baratas. En lugar de atacar los teléfonos, Nohl dijo que la mayoría de los vendedores de software espía ofrecen el espionaje SS7, que explota las vulnerabilidades de la red celular. El SS7, o Sistema de Señalización nº 7, es un protocolo que permite que diferentes redes telefónicas se comuniquen entre sí. Si un exploit da a los hackers acceso al SS7, pueden interceptar la información de los usuarios de smartphones, como llamadas de voz, mensajes de texto, información de localización y otros datos. “Por supuesto, tu iPhone puede ser todo lo fuerte que quieras en cuanto a seguridad, pero si la red celular está filtrando información, eso está fuera del control del teléfono y de Apple. Empresas como Circles anuncian muy activamente que pueden rastrear la ubicación de un teléfono a través de SS7”.
Nohl asume que todos los proveedores de software espía tienen acceso a las redes SS7. Sin embargo, Nohl afirma que los exploits de Android son cada vez más sofisticados y que están entrando nuevos competidores en el mercado, lo que pone estas herramientas en manos de un número cada vez mayor de clientes.
Ability, una empresa de software espía con sede en Tel Aviv, vende algo llamado Ultimate Interception System (ULIN) que, junto con un sistema táctico de interceptación celular llamado IBIS (In-Between Interception System), permite a Ability interceptar redes GSM, UMTS, LTE Y CDMA para espiar el smartphone de un objetivo. México gastó 42 millones de dólares en ULIN y otras herramientas en 2016, pero Ability también tiene clientes en China, Singapur, Myanmar, la República Checa, Alemania y otros países. El sitio web de la compañía dice que los clientes incluyen agencias de seguridad e inteligencia, fuerzas armadas, fuerzas de seguridad y agencias de seguridad nacional en más de 50 países.
Verint, que tiene oficinas en Melville, Nueva York, Herzliya e Israel, estuvo a punto de comprar NSO Group por 1.000 millones de dólares en 2018 antes de que las conversaciones fracasaran. La empresa es más conocida por sus cámaras y sistemas de seguridad que permiten a las empresas vigilar los lugares de trabajo. Verint también vende sofisticadas herramientas de vigilancia de comunicaciones masivas, incluido el software de seguimiento de teléfonos inteligentes, a clientes gubernamentales y empresariales. La tecnología SkyLock de Verint, por ejemplo, puede rastrear la ubicación de los usuarios de teléfonos inteligentes pirateando el protocolo SS7, según un folleto confidencial obtenido por 60 Minutes en 2016.
Al igual que una serie de conocidas empresas de software espía, Verint ha vendido sistemas de rastreo de teléfonos inteligentes a gobiernos con historiales de derechos humanos muy cuestionables, como los Emiratos Árabes Unidos (EAU), Sudán del Sur y México.
Un exempleado anónimo de Verint dijo a Haaretz el año pasado que la tecnología de vigilancia telefónica de Verint se utilizó para vigilar a personas homosexuales y transexuales en Azerbaiyán.
Para competir con competidores como NSO Group y Verint Systems, varias empresas de vigilancia han formado recientemente un consorcio. Bajo el nombre de Intellexa, esta alianza aspira a convertirse en “una ventanilla única para todas las necesidades de nuestros clientes en el ámbito de la inteligencia de campo”; la necesidad es, por supuesto, la vigilancia de dispositivos inteligentes y otros aparatos electrónicos.
La alianza Intellexa está formada por las empresas de ciberinteligencia Nexa Technologies (antes Amesys), WiSpear y Cytrox. La solución “Lawful Intercept” de Nexa permite espiar voz y datos en redes 2G, 3G y 4G. La empresa, con sede en París y oficinas en Dubai y la República Checa, también ofrece un producto de espionaje telefónico en Internet que permite a los usuarios realizar sondeos IP para analizar redes con altas tasas de datos o que, según el sitio web, utilizan sensores Wi-Fi capaces de detectar un objetivo a varios kilómetros de distancia.
Nexa no respondió a las solicitudes de comentarios por correo electrónico sobre las capacidades de su sistema. Sin embargo, John Scott-Railton, investigador principal de Citizen Lab, afirma que los sensores Wi-Fi de la empresa son probablemente una tecnología de radiogoniometría combinada con ataques de espionaje Wi-Fi estándar.
El socio de Intellexa, WiSpear, es una entrada más reciente en el mercado de las armas cibernéticas ofensivas. WiSpear se fundó en Israel en 2017, pero tiene su sede en Chipre. La compañía vende una furgoneta especialmente equipada llamada SpearHead, que está equipada con 24 antenas que pueden forzar el teléfono o el ordenador de un objetivo a conectarse a su interceptor basado en Wi-Fi hasta 1.640 pies de distancia. Tras llevar a cabo un ataque “man-in-the-middle”, SpearHead puede descargar cuatro tipos diferentes de malware en iOS y Android.
El fundador de WiSpear, Tal Dilian, veterano de las Fuerzas de Defensa de Israel, es también el fundador de Circles, una empresa de armas cibernéticas con sede en Chipre y Bulgaria que se fusionó con NSO Group cuando ambas empresas eran propiedad de Francisco Partners. El otro socio público de Intellexa, Cytrox, es una empresa europea que desarrolla exploits que pueden atacar y penetrar en los dispositivos inteligentes de los usuarios. La compañía, que actualmente está en modo sigiloso según su sitio web, fue adquirida por WiSpear en 2018. Dilian anunció antes de la publicación que hay otros cinco socios no públicos en Intellexa, además de las tres empresas.
“Los equipos de inteligencia de campo deben estar preparados para enfrentar cualquier desafío”, dijo Dilian en el comunicado de prensa de Intellexa del 16 de febrero que anunció la alianza. “Tienen que ser capaces de llegar a zonas de difícil acceso e interceptar con éxito cualquier dispositivo. Para ello, necesitan una plataforma versátil -portátil, montada en un vehículo o aérea- con una gama completa de funciones, en función del respectivo escenario operativo.
Intellexa se creó para hacer precisamente eso. No fue posible contactar con Intellexa para que comentara sus capacidades de espionaje “aéreo”. Scott-Railton afirma que los drones y otras aeronaves equipadas con tecnología de interceptación serían beneficiosos para las empresas. “[Los drones y las aeronaves] son en realidad la mejor manera de hacerlo porque puedes hacerlos pasar por la línea de visión”, dice. “Los sistemas terrestres tienen un alcance mucho menor”.
Otra empresa de software espía menos conocida es Rayzone, una compañía israelí que ofrece servicios de seguimiento de la ubicación y análisis de big data, así como un “sistema de troyanos móviles” que vende a gobiernos y agencias federales. El sitio web de Rayzone menciona el malware que los clientes pueden utilizar para recopilar información del teléfono inteligente, como archivos, fotos, navegación web, correo electrónico, ubicación, conversaciones de Skype y otros datos. La empresa también presume de que su malware puede espiar los SMS y otros servicios de mensajería instantánea, incluido WhatsApp.
Muchas de las empresas de software espía mencionadas ganan su dinero con contratos en el extranjero, a menudo bajo los auspicios de los controles de exportación de sus gobiernos, pero hay varias empresas con agendas más domésticas. Por ejemplo, en los Emiratos Árabes Unidos, Dark Matter es una empresa de ciberseguridad que alberga el Proyecto Raven, un equipo de agentes secretos algunos de los cuales han trabajado previamente para agencias de inteligencia estadounidenses como la Agencia de Seguridad Nacional (NSA). Reuters informó en enero de que los empleados de Raven han estado utilizando durante los últimos años una plataforma de ciberespionaje llamada Karmas, que puede hackear los iPhones de activistas y líderes políticos, así como de presuntos terroristas.
Una de las fuentes de Reuters, Lori Stroud, que antes trabajaba en la empresa contratista de la NSA, Booz Allen Hamilton, supo en una sesión informativa que Raven es la división ofensiva y operativa de la NESA (Autoridad Nacional de Seguridad Electrónica, ahora llamada Agencia de Inteligencia de Señales) de los Emiratos Árabes Unidos, que depende de la NSA. Aunque Raven utilizó Karma para espiar a rivales regionales como Qatar e Irán, el malware también se utilizó, al parecer, para atacar a ciudadanos de los EAU que criticaban abiertamente a la monarquía.
Fuentes anónimas dijeron al Intercept que el personal de Dark Matter habló de hackear al personal de la publicación después de que la reportera Jenna McLaughlin revelara en un artículo del Intercept cómo la empresa de seguridad informática CyberPoint, con sede en Maryland, ayudó a un equipo de estadounidenses a reunir espías y herramientas de hackeo para el Proyecto Raven.
Al otro lado del Mediterráneo, la empresa italiana eSurv vende una plataforma de software espía para Android apodada “Exodus”. En marzo, investigadores de la organización de vigilancia Seguridad Sin Fronteras dijeron que entre 2016 y principios de 2019 encontraron 25 apps maliciosas subidas por eSurv a la Google Play Store, donde se disfrazaban de aplicaciones de operadores móviles. “Según las estadísticas disponibles públicamente y la confirmación de Google, la mayoría de estas apps cosecharon unas pocas docenas de instalaciones cada una, y un caso superó las 350”, informó Seguridad Sin Fronteras.
La investigación de Seguridad Sin Fronteras reveló que Exodus está equipado con “amplias funciones de detección e interceptación” y que algunas modificaciones provocadas por el programa espía “podrían exponer los dispositivos infectados a un mayor compromiso o manipulación de datos”. Las autoridades italianas abrieron una investigación sobre eSurv y una empresa relacionada, STM, en las semanas previas al informe de Seguridad Sin Fronteras. Como parte de la investigación, los fiscales dijeron que habían cerrado la infraestructura de eSurv.
En marzo, el New York Times informó de que el mercado de software espía de interceptación legal estaba valorado en 12.000 millones de dólares. Por su parte, la empresa de investigación londinense Technavio estima el mercado de la interceptación legal en 1.300 millones de dólares y señala que un importante motor del mercado es un “número creciente de iniciativas gubernamentales… para aumentar el uso de la interceptación legal” para es el seguimiento y control regular de actividades delictivas, terroristas y otras actividades ilegales a través de las redes de comunicación. “Con más herramientas de espionaje e iniciativas gubernamentales de interceptación, es muy probable que aumente el potencial de abuso, dice Scott-Railton.
“Dicho esto, mientras los nuevos participantes persiguen a los inversores, está bastante claro que muchos de ellos se sienten incómodos con los riesgos que asumen estas empresas”, afirma.
Novalina Capital, la empresa de capital riesgo que recientemente adquirió NSO Group a Francisco Partners, ha defendido en los últimos meses el historial de derechos humanos de Pegasus. Con NSO Group enfrentándose a múltiples demandas de supuestas víctimas en Canadá y México, Novalpina ha intentado calmar los nervios de los inversores con una campaña de relaciones públicas dirigida a grupos de derechos humanos y prometiendo una supervisión interna más estricta. NSO “ya es relativamente liberal en cuanto al uso de su tecnología para lo que los europeos considerarían violaciones de los derechos humanos”, afirma Nohl.
Mientras tanto, el terreno legal que rodea a las llamadas “herramientas de interceptación legal” sigue siendo opaco y en gran medida incontrolado. Como escribió recientemente un grupo de abogados y estudiantes de derecho en Just Security “A día de hoy, no tenemos ni el marco legal nacional que regule la venta y el uso de programas espía, ni la autorregulación de la industria que pueda prevenir eficazmente el abuso”.
David Kaye, Relator Especial de Estados Unidos para la Libertad de Expresión, pidió recientemente una moratoria en la venta de software de vigilancia. “Se ha demostrado que la vigilancia de determinadas personas -a menudo periodistas, activistas, opositores, críticos y otras personas que ejercen su derecho a la libertad de expresión- conduce a detenciones arbitrarias, a veces a la tortura y posiblemente a ejecuciones extrajudiciales”, escribió en un Informe al Consejo de Derechos Humanos de la ONU. “Los Estados deben imponer una moratoria inmediata a la exportación, venta, transferencia, uso o servicio de instrumentos de vigilancia desarrollados por el sector privado hasta que se establezca un sistema de protección acorde con los derechos humanos”.
Nohl señala que una actividad completamente legal en un país puede ser delictiva en otro, especialmente cuando se trata de espionaje y persecución. Dice que muchos países se sentirán perfectamente justificados para utilizar las tecnologías de espionaje móvil como herramientas de represión política porque sus leyes les otorgan ese poder. Y las empresas seguirán vendiéndoles armas.
Aunque NSO y otros proveedores israelíes dominan actualmente el mercado, puede que no sea siempre así. “El Grupo NSO es tan fenomenalmente rentable que alguien más tiene que entrar en este mercado”, dice Nohl. “Y el competidor más cercano podría ser un proveedor ruso, chino o incluso norcoreano, que podría tener incluso menos problemas con una base de clientes aún mayor”.
En 2019, identificamos más de 20 aplicaciones de spyware gubernamental disfrazadas de inofensivas aplicaciones vainilla en Google Play Store. Estas aplicaciones solo eran un cebo para instalar el spyware gubernamental Exodus en los teléfonos de los objetivos. En un proceso de dos pasos, crearon listas de aplicaciones instaladas, el historial del navegador, listas de contactos de numerosas aplicaciones, mensajes de texto -incluidos los textos cifrados-, datos de localización y contraseñas de aplicaciones y Wi-Fi. El malware también era capaz de activar cámaras y micrófonos para grabar audio y vídeo, así como de realizar capturas de pantalla de las aplicaciones mientras se utilizaban. Este software espía procedía de una empresa de vigilancia italiana llamada eSurv, y aunque era bueno para hackear los teléfonos de otras personas, era malo para hacer copias de seguridad de sus propios datos. El programa espía abría un intérprete de comandos remoto en los teléfonos infectados, pero no utilizaba ningún tipo de cifrado o autenticación, por lo que cualquiera que estuviera en la misma red Wi-Fi que el dispositivo infectado podía entrar y hackearlo.
Fue esta seguridad deficiente la que llevó a las autoridades a un descubrimiento sorprendente: Como informó Bloomberg a principios de este mes, los empleados de eSurv estaban supuestamente espiando a ignorantes e inocentes ciudadanos italianos utilizando la potente tecnología de vigilancia.
Supuestamente, lo hacían con gran sensibilidad: Según documentos judiciales vistos por Bloomberg, los empleados de eSurv reproducían en voz alta las llamadas telefónicas grabadas en secreto en la oficina. La empresa vendía su software de espionaje a las fuerzas del orden, pero eSurv supuestamente también cerró un acuerdo con una empresa que se cree que está afiliada a la mafia ‘Ndrangheta.
Descubrir las aplicaciones de sniffing
El hombre que está detrás de Exodus es el desarrollador italiano Diego Fasano. Después de desarrollar con éxito una aplicación que los médicos pueden utilizar para ver los historiales médicos, un amigo le aconsejó que se metiera en el negocio de la vigilancia, donde los investigadores buscan desesperadamente ayuda para entrar en las comunicaciones cifradas de aplicaciones de mensajería como WhatsApp y Signal. En 2014 fundó eSurv, que vende tecnología de vigilancia a la policía y las agencias de inteligencia.
Así es como funcionó: con la ayuda de las telecomunicaciones italianas, la empresa atrajo a la gente para que se descargara una aplicación aparentemente inofensiva que supuestamente arreglaría los errores de la red en su teléfono. Fasano dijo que la policía, en colaboración con las redes móviles, desconectaba el servicio de datos del objetivo.
A continuación, enviaban instrucciones para descargar una aplicación a través de Wi-Fi para restablecer el servicio. La aplicación debía parecer que estaba conectada a los proveedores de telecomunicaciones, con nombres como “Operator Italia”. El verdadero propósito: dar a las fuerzas de seguridad acceso al micrófono, la cámara, los archivos almacenados y los mensajes cifrados de un dispositivo.
Fasano vendió Exodus a fiscales de todo el país, incluida la agencia de inteligencia extranjera, L’Agenzia Informazioni e Sicurezza Esterna.
Sin embargo, un fallo de seguridad acabó con Exodus. Según las autoridades, una fiscalía de la ciudad de Benevento utilizó Exodus en 2018 para hackear los teléfonos de los sospechosos en una investigación. En octubre, un técnico se dio cuenta de que la conexión a la red seguía cayendo.
Tras algunas investigaciones, el técnico descubrió que Exodus no funcionaba desde un servidor interno seguro al que solo tenía acceso la oficina del fiscal de Benevento, como se suponía. Por el contrario, se conectaba a un servidor al que podía acceder cualquier persona en Internet y que sólo estaba protegido por un nombre de usuario y una contraseña.
Esto significaba que los datos recogidos de forma encubierta de los teléfonos de los sospechosos por los fiscales italianos en el marco de algunas de las investigaciones más delicadas del país -de casos de mafia, terrorismo y corrupción- podían ser interceptados por los hackers. Esto incluía miles de fotos, grabaciones de conversaciones, mensajes privados y correos electrónicos, vídeos y otros archivos recogidos de los teléfonos y ordenadores pirateados: un total de unos 80 terabytes de datos, o unas 40.000 horas de vídeo en alta definición, almacenados sin cifrar. Resultó ser un servidor de Amazon Web Services en Oregón. Las autoridades no saben si ese servidor fue hackeado.
Los fiscales presentaron cargos penales contra eSurv por recopilar y almacenar ilegalmente comunicaciones privadas, reenviarlas al extranjero y no almacenar de forma segura “datos personales sensibles de carácter judicial”.
Mientras tanto, Fasano y otro ejecutivo de eSurv, Salvatore Ansani, fueron acusados de fraude, acceso no autorizado a un sistema informático, escuchas telefónicas no autorizadas y tratamiento de datos no autorizado. Después de permanecer bajo arresto domiciliario durante tres meses, fueron puestos en libertad y ahora están a la espera de la siguiente fase de su proceso judicial, que probablemente desembocará en un juicio.
Investigaciones posteriores revelaron que algunos de los 20 empleados de eSurv -que se dedicaban a trabajar en Exodus y se autodenominaban “El Equipo Negro” bajo la dirección de Ansani- utilizaron el software de espionaje para atacar a ciudadanos italianos respetuosos de la ley que nunca fueron nombrados como sospechosos en la investigación. Sin embargo, los teléfonos de estos ciudadanos fueron intervenidos y sus conversaciones privadas grabadas, por razones que las autoridades dicen que aún se desconocen.
Según los documentos de la policía, el Equipo Negro espió a más de 230 personas a las que no se les permitió ser vigiladas por la policía. En los archivos internos de eSurv se hace referencia a algunas de estas personas como “los voluntarios”, es decir, que pueden haber sido conejillos de indias involuntarios.
Los investigadores todavía están examinando la gran cantidad de datos incautados a eSurv mientras intentan averiguar el propósito de la recopilación ilegal de datos. ¿Fue por chantaje? ¿Para divertirse? ¿Para espiar? ¿Para la vigilancia ilegal en nombre de la mafia?
En este momento, un fiscal -Eugenio Facciolla, que está en el centro de un escándalo de corrupción- ha sido acusado de falsificar documentos para obstruir o engañar una investigación policial sobre una operación de tala ilegal dirigida por la ‘Ndrangheta, en la que se cortaron miles de árboles en algunos parques nacionales italianos.
En noviembre, el organismo que se encarga de los nombramientos de los fiscales dijo que destituía a Facciolla de su cargo en Castrovillari por “abuso de funciones”. Facciolla está apelando la decisión. Sí, dice, suministró Exodus a otras empresas, pero, dice su abogado, Vincenzo Ioppoli, el programa espía es “como un arma. Una vez que lo vendes, no sabes cómo se va a utilizar”.
Los ejecutivos de “eSurv” fueron detenidos en Italia a raíz del caso del programa espía Exodus.
Nuestra respuesta a Exodus: una solución sencilla pero potente
Debido a la arquitectura del firmware, la ejecución remota de código está bloqueada por defecto. De esta manera, ninguna otra aplicación (excepto las preinstaladas) puede ser instalada en el Stealth Phone, ni siquiera por el usuario. Además, incluso bloqueamos cualquier actualización de aplicaciones, ya que descubrimos que las aplicaciones espía pueden ser empujadas a través de la actualización de aplicaciones maliciosas.
FinSpy es una solución de monitorización remota de eficacia probada que permite a los gobiernos hacer frente a los retos actuales de monitorización de objetivos móviles y de seguridad que cambian regularmente de ubicación, utilizan canales de comunicación cifrados y anónimos y residen en el extranjero. FinSpy proporciona acceso a información como contactos, mensajes SMS/MMS, calendarios, localización GPS, imágenes, archivos en memoria y grabaciones de llamadas telefónicas. Todos los datos exfiltrados se transfieren al atacante mediante mensajes SMS o a través de Internet. Los datos personales, incluyendo contactos, mensajes, audios y vídeos, pueden ser exfiltrados desde los mensajeros más populares. Según la información del sitio web oficial, FinFisher ofrece, entre otras herramientas y servicios, una “solución estratégica y de amplio alcance para la escucha y la vigilancia”. Este software (también conocido como FinSpy) se utiliza para recopilar diversa información privada de los usuarios en diferentes plataformas.
Sus implantes para dispositivos de escritorio fueron descritos por primera vez por Wikileaks en 2011 y los implantes para móviles se descubrieron en 2012. Desde entonces, XCell Technologies ha supervisado continuamente el desarrollo de este malware y la aparición de nuevas versiones en la naturaleza. Según nuestra telemetría, varias docenas de dispositivos móviles individuales han sido infectados en el último año, con la actividad más reciente registrada en Myanmar en junio de 2019. A finales de 2018, los expertos de XCell Technologies examinaron las versiones funcionalmente más recientes de los implantes FinSpy para iOS y Android, que se crearon a mediados de 2018. Los implantes móviles para iOS y Android tienen casi la misma funcionalidad. Son capaces de recopilar información personal como contactos, mensajes SMS/MMS, correos electrónicos, calendario, ubicación GPS, fotos, archivos en la memoria, registros de llamadas telefónicas y datos de los mensajeros más populares.
Funciones del spyware
El implante de Android es capaz de obtener privilegios de root en un dispositivo no rooteado abusando del exploit DirtyCow incluido en el spyware. Las muestras de FinSpy para Android se conocen desde hace varios años. Según los datos del certificado de la última versión encontrada, la muestra se desplegó en junio de 2019. Es poco probable que la funcionalidad del implante de Android cambie significativamente, ya que la mayoría de los parámetros de configuración son los mismos en las versiones antiguas y nuevas. La variedad de ajustes disponibles permite personalizar el comportamiento del implante para cada víctima. Por ejemplo, los operadores pueden seleccionar los canales de comunicación preferidos o desactivar automáticamente las transmisiones de datos mientras la víctima está en modo itinerante. Todos los datos de configuración de un dispositivo Android infectado (incluida la ubicación del servidor de control) se incrustan en el implante y se utilizan posteriormente, pero algunos de los parámetros pueden ser modificados a distancia por el operador. Los datos de configuración se almacenan en un formato comprimido, dividido en una serie de archivos en el directorio “assets” del apk del implante. Una vez extraídos todos los datos y creado el archivo de configuración, se pueden recuperar todos los valores de configuración. Cada valor del archivo de configuración se almacena según el valor little-endian de su tamaño, y el tipo de configuración se almacena como un hash.
Por ejemplo, se pueden marcar los siguientes ajustes interesantes que se encuentran en el archivo de configuración de la compilación para desarrolladores del implante: ID del objetivo móvil, dirección IP del proxy, puerto del proxy, número de teléfono SMS remoto, identificador único del implante instalado. Como en el caso del implante de iOS, la versión de Android puede instalarse manualmente si el atacante tiene acceso físico al dispositivo, así como a través de vectores de infección remotos: Mensajes SMS, correos electrónicos y WAP push. Tras una instalación exitosa, el implante intenta obtener privilegios de root comprobando la presencia de los conocidos módulos de root SuperSU y Magisk y ejecutándolos. Si no hay utilidades presentes, el implante descifra y ejecuta el exploit DirtyCow ubicado dentro del malware. Si tiene éxito en obtener acceso a la raíz, el implante registra una política SELinux personalizada para obtener acceso completo al dispositivo y mantener el acceso a la raíz. Si ha estado utilizando SuperSU, el implante cambia la configuración de SuperSU para silenciarlo, desactiva su fecha de caducidad y lo configura para que se inicie automáticamente en el arranque. También elimina todos los registros posibles, incluidos los de SuperSU. El implante permite acceder a información como los contactos, los mensajes SMS/MMS, el calendario, la ubicación GPS, las imágenes, los archivos de la memoria y las grabaciones de llamadas telefónicas. Todos los datos exfiltrados se transmiten al atacante a través de mensajes SMS o por Internet (la ubicación del servidor C2 se almacena en el archivo de configuración). Los datos personales, incluyendo contactos, mensajes, audios y vídeos, pueden ser exfiltrados desde los mensajeros más populares. Cada uno de los mensajeros objetivo tiene su propio módulo de manejo unificado, lo que facilita la adición de nuevos manejadores según sea necesario. La lista completa de mensajeros soportados es la siguiente
com.bbm ……….BBM(BlackBerry Messenger)
com.facebook.orca ………. Facebook Messenger
com.futurebits.instamesssage.free ……….InstaMessage
jp.naver.line.android ……….Line Messenger
org.thoughtcrime.securesms ……….Signal
com.skype.raider ……….Skype
org.telegram.messenger ……….Telegram
ch.threema.app ……….Threema
com.viber.voip ……….Viber
com.whatsapp ……….WhatsApp
En primer lugar, el implante comprueba si el mensajero en cuestión está instalado en el dispositivo (utilizando un nombre de paquete codificado) y si se concede acceso root. Después, se prepara la base de datos del mensajero para la exfiltración de datos. Si es necesario, se puede descifrar utilizando la clave privada almacenada en su directorio privado, y se puede recuperar fácilmente toda la información necesaria:
Infraestructura
Los implantes FinSpy son controlados por el agente FinSpy (terminal del operador). Por defecto, todos los implantes están conectados a proxies de anonimización FinSpy (también conocidos como relés FinSpy) proporcionados por el proveedor de software espía. Esto se hace para ocultar la ubicación real de FinSpy Master. Una vez que el sistema objetivo infectado aparece en línea, envía un latido al proxy FinSpy. El proxy FinSpy reenvía las conexiones entre los sistemas objetivo y un servidor maestro. El servidor maestro de FinSpy gestiona todos los objetivos y agentes y almacena los datos. Basándose en los archivos de configuración descifrados, nuestros expertos pudieron identificar los diferentes relés utilizados por las víctimas y su ubicación geográfica. La mayoría de los relés que encontramos se concentran en Europa, con algunos en el sudeste asiático y en Estados Unidos.
Conclusión
Los implantes móviles FinSpy son herramientas avanzadas de espionaje malicioso con múltiples funciones. Varias opciones de configuración proporcionadas por el proveedor de software espía en su producto permiten a los operadores del terminal FinSpy (FinSpy Agent) adaptar el comportamiento de cada implante a una víctima específica y llevar a cabo una vigilancia eficaz, exfiltrando datos sensibles como la ubicación GPS, contactos, llamadas y otros datos de varios mensajeros instantáneos y del propio dispositivo. El implante de Android tiene funciones para obtener privilegios de root en un dispositivo no rooteado abusando de vulnerabilidades conocidas. En cuanto a la versión para iOS, parece que esta solución de software espía no proporciona exploits de infección para sus clientes, ya que su producto parece estar ajustado para eliminar los rastros de las herramientas de jailbreaking disponibles públicamente. Esto podría significar el acceso físico a la víctima en los casos en que los dispositivos no estén ya jailbrekeados. Al mismo tiempo, se implementan varias características que aún no hemos observado en el malware diseñado para esta plataforma. Desde la filtración de 2014, los desarrolladores de FinSpy han reconstruido partes importantes de sus implantes, han ampliado las funciones compatibles (por ejemplo, la lista de mensajeros instantáneos compatibles se ha ampliado considerablemente) y, al mismo tiempo, han mejorado el cifrado y la ofuscación (dificultando el análisis y la detección de los implantes), lo que ha permitido mantener su posición en el mercado. En total, la investigación descubrió versiones actuales de estos implantes que se utilizan en la naturaleza en casi 20 países, aunque el número total podría ser mayor. Los desarrolladores de FinSpy trabajan constantemente en la actualización de su malware. En el momento de la publicación, los investigadores de XCell Technologies han encontrado otra versión de la amenaza y actualmente están investigando este caso.
Nuestra solución
FinSpy elude 40 aplicaciones antivirus probadas regularmente. Por lo tanto, no tiene sentido instalar un antivirus. XCell Technologies ha optado por otra solución eficaz para eludir la instalación de malware y software malicioso. Hay un algoritmo de detección de FinSpy instalado en lo más profundo del firmware de la XROM que no sólo detecta cualquier intento de intrusión, sino que también bloquea cualquier ejecución de código. Los puertos HTTP locales utilizados por FinSpy fueron bloqueados: :8999 y :8899.
Así pues, los usuarios de XStealth no deben temer al software de vigilancia de grado gubernamental.
Pegasus es un programa espía que puede instalarse en dispositivos que funcionan con determinadas versiones de iOS, el sistema operativo móvil de Apple, desarrollado por la empresa israelí de ciberarmas NSO Group. El sistema operativo Android es menos vulnerable que iOS en lo que respecta a Pegasus (también conocido como Chrysaor para Android). Si se hace clic en un enlace malicioso, Pegasus activa en secreto un jailbreak en los dispositivos iOS y puede leer mensajes de texto, rastrear llamadas, recopilar contraseñas, rastrear la ubicación del teléfono y recopilar información de las aplicaciones, incluyendo (pero no limitado a) iMessage, Gmail, Viber, Facebook, WhatsApp, Telegram y Skype. Por lo tanto, Pegasus no puede instalarse por sí mismo (como FinSpy Mobile): se requiere la interacción del usuario.Pegasus para Android (Chrysaor) no se basa en vulnerabilidades de día cero. En su lugar, utiliza un método de enraizamiento bien conocido llamado Framaroot. En XROM (nuestro firmware propietario), bloqueamos el ejecutable y los puertos de Framaroot. Esto fue más fácil que bloquear FinSpy Mobile.
No te preocupes: Pegasus no es una amenaza para nuestros Android Ultra Secure Stealth Phones, ni para otros XCell Stealth Phones. Los demás que funcionan con firmware 100% propietario también son 100% inmunes: no se pueden instalar archivos apk en los teléfonos de características.
¿Qué es realmente ULIN?
Diríamos que ULIN (Ultimate Interception) no es más que una campaña de marketing bien ejecutada basada en un método de interceptación muy antiguo: SS7. Nada nuevo, nada extraordinario comparado con otras soluciones de interceptación SS7 que ya existen en el mercado, como la más antigua pero potente SkyTrack.
Verint, otra empresa israelí, ya lanzó en 2013 SkyJack y SkyLock, que son soluciones SS7 de interceptación y seguimiento de la ubicación. En aquel momento, no se conocía ningún exploit SS7 que ahora utilice ULIN, por lo que Verint tuvo que instalar una denominada caja SS7 en la red móvil principal conectada a los servidores internos del operador que ejecutaban los servicios HLR-VLR. Y Verint lo hizo con la ayuda de agencias de seguridad y de seguridad nacional de todo el mundo que estaban interesadas en ejecutar tales sistemas. Y lo hicieron bien.
La novedad que aporta ULIN es un nuevo exploit SS7 que permite realizar explotaciones remotas sin tener una caja SS7 instalada en el núcleo de la red móvil. El precio también es excepcional, lo que justifica la monetización del nuevo exploit SS7: El sistema ULIN está disponible actualmente por 20 millones de dólares y puede identificar las llamadas, los textos y la ubicación de prácticamente cualquier teléfono móvil del mundo.
Como ya hemos dicho, Ability no es la única empresa que se dedica al SS7 de forma tan agresiva. De hecho, Ability no ha desarrollado el producto ULIN por sí misma ni es propietaria de la tecnología, sino que la licencia de un tercero no identificado. La empresa invierte en investigación y desarrollo del sistema y es la única que despliega la herramienta en su propia infraestructura, pero ha recurrido a otra empresa para el sistema central. Esta otra empresa se describe en los archivos de la SEC únicamente como “una empresa de reciente creación con un corto historial de operaciones y que todavía es desconocida en el sector”.
El año pasado, se reveló que Circles Bulgaria y otras dos empresas israelíes, Rayzone y CleverSig, estaban vendiendo paquetes de exploits SS7, aunque había pocos detalles sobre qué ofrecían exactamente o por cuánto. ULIN se presentó ya en 2015 como una solución de interceptación que permite a los organismos gubernamentales interceptar las comunicaciones de larga distancia en casi todo el mundo. ULIN permite interceptar legalmente las llamadas de voz, los mensajes SMS y la información relacionada con las llamadas de los teléfonos GSM / UMTS / LTE sin que el teléfono interceptado tenga que estar cerca y sin el consentimiento de los operadores de redes móviles, y solo requiere el número de teléfono o IMSI del dispositivo móvil. ULIN es un producto joven que puede no estar aún ampliamente desplegado. Según el documento de conclusiones de May, Ability sólo ha vendido hasta ahora un producto ULIN en el extremo inferior de la escala de precios, pero han “recibido consultas de varios clientes actuales y potenciales”. Este primer cliente, que no se dedica a la explotación transfronteriza sino que se centra en objetivos dentro del país, está siendo tratado como una prueba beta.
¿Cómo puede este sistema lograr hazañas tan extraordinarias?
En realidad, aprovecha un fallo del Sistema de Señalización nº 7, o SS7, la norma internacional de telecomunicaciones que ilustra cómo se intercambia la información en las redes digitales de las redes telefónicas públicas conmutadas (RTPC) para los teléfonos móviles.
Los “puntos de señalización” del SS7 y los nodos que utilizan la señalización fuera de banda para facilitar servicios como el desvío de llamadas. Un tercero aún desconocido es el responsable de conceder la licencia de esta vulnerabilidad a Ability y de proporcionar acceso o información sobre el fallo del SS7. De este modo, interceptar cualquier teléfono móvil para las fuerzas del orden es fácilmente posible con sólo intervenir el teléfono objetivo. Como cualquier otro sistema de interceptación SS7, el sistema ULIN se basa en las vulnerabilidades del protocolo SS7, que se desarrolló en 1984 y se ha actualizado muy poco desde entonces; ¡la última actualización fue en 1993! La vulnerabilidad afecta a todo el mundo mientras utilice la red celular. Incluso si un usuario desactiva sus servicios de localización en su teléfono, los hackers pueden seguir viendo la red a través de los servicios de red. Los gobiernos de todo el mundo conocían la vulnerabilidad, pero debido a los beneficios que representa para ellos, decidieron no cerrarla. La población mundial corre el riesgo de que sus llamadas telefónicas sean interceptadas con una vulnerabilidad conocida sólo porque algunas agencias de inteligencia podrían obtener algunos datos.
La mala noticia es que no hay un único lugar al que acudir cuando se trata de la seguridad del SS7, porque los operadores de redes son responsables de su propia seguridad, aunque algunas redes son más seguras que otras, ninguna es indiferente a los ataques.
¿Cómo funciona el error SS7?
El pirata informático o las fuerzas de seguridad que utilizan una escucha del SS7 reenvían todas las llamadas a un dispositivo de grabación en línea y luego devuelven la llamada al destinatario previsto, lo que se conoce como ataque de intermediario. Además, los movimientos de un usuario de teléfono móvil pueden ser rastreados por otras herramientas de hacking. La ubicación de la víctima puede ser rastreada a través de Google Maps. El fallo del SS7 es en realidad un secreto a voces entre las agencias de inteligencia del mundo. La vulnerabilidad crucial reside en la propia red móvil.
Hydra es otra solución de monitorización e interceptación de SS7 desarrollada por HSS Development. Aprovecha la misma vulnerabilidad del protocolo SS7 que SkyTrack, Sky Lock y ULIN. Dado que tenemos cryptoTRACERⓇ instalado en la mayoría de nuestros XCell Stealth Phones, una intrusión de este tipo activará una alarma cada vez que se intercepte una llamada telefónica y un SMS, y cada vez que un ping de seguimiento de la ubicación llegue al Stealth Phone.
Aunque Ability afirma que ULIN es el primer sistema de interceptación y seguimiento global, Verint, otra empresa israelí, lanzó su sistema de interceptación SS7 ya en 2013. En aquel momento, no se conocía el exploit SS7 que ahora utiliza ULIN. Por lo tanto, Verint tuvo que instalar una llamada caja SS7 en el núcleo de la red móvil, conectada a los servidores internos del operador que ejecutaban los servicios HLR-VLR. Y Verint lo hizo con la ayuda de agencias de seguridad y de seguridad nacional de todo el mundo que estaban interesadas en ejecutar tales sistemas. Y lo hicieron bien.
Los problemas surgen en 2015 cuando algunos gobiernos descubren que el mismo sistema de vigilancia SkyLock puede ser utilizado contra ellos por sus enemigos (otros gobiernos y/o países hostiles). Verint ha vendido SkyLock a cualquier gobierno interesado sin restricciones. Sin embargo, Verint no revelará la ubicación de los suscriptores israelíes en Israel, ni de los suscriptores estadounidenses en su país o en el extranjero. La misma situación existe actualmente con ULIN y otros sistemas de interceptación basados en SS7.
En la oferta actual de Verint, SkyLock ya no existe, pero sigue siendo vendido y atendido por otra antigua empresa de Verint llamada Cognyte. Al igual que varias empresas de espionaje muy conocidas, Verint ha vendido sistemas de interceptación de teléfonos inteligentes a gobiernos con historiales de derechos humanos muy cuestionables, como los Emiratos Árabes Unidos (EAU), Sudán del Sur y México. Un ex empleado anónimo de Verint dijo a Haaretz el año pasado que la tecnología de vigilancia telefónica de Verint se utilizó para vigilar a los homosexuales y transexuales en Azerbaiyán.
Dado que tenemos cryptoTRACER® instalado en la mayoría de nuestros XCell Stealth Phones, esta intrusión activa las alertas cuando se interceptan las llamadas telefónicas y los SMS y cada vez que un ping de seguimiento de la ubicación llega al Stealth Phone.
cryptoTRACERⓇ
Desde 2016 hemos introducido cryptoTRACER® en la mayoría de nuestros Stealth Phones que activan Alertas cuando sus llamadas telefónicas y mensajes son interceptados utilizando medios SS7. CryptoTRACER® es eficaz en la detección de interceptación ULIN porque el sistema utiliza la misma vulnerabilidad de seguridad SS7. Además, los pings de seguimiento de ubicación del sistema ULIN (portátil o estratégico) se envían a través de una red celular, lo que hace que aparezcan en XCell Stealth Phones como un ping de seguimiento de ubicación recibido que se almacena en un archivo de texto para su posterior análisis.
Para los XCell Dynamic IMEI Stealth Phones (v1, v2, v3.1, v4, XCrypt y XCell Pro), hay un tipo de advertencia especial cuando el sistema ULIN recoge datos relacionados con las llamadas (fecha, hora, números de teléfono implicados (para llamadas en conferencia) y datos de localización relacionados en el momento de la llamada): El icono del candado verde en la pantalla de inicio superior parpadeará en rojo/verde durante aproximadamente 20 segundos después de colgar la llamada, ya que este es el tiempo que ULIN necesita para recopilar los datos anteriores. Esta función avanzada es utilizada por ULIN para mapear toda la red de contactos del teléfono de destino y suele realizarse antes de iniciar el proceso de escucha de la llamada de voz.
Con XCell Basic v3, XStealth Lite y XStealth, la pantalla de la llamada permanece en alerta durante unos 20 segundos después de que finalice la llamada, como si ésta siguiera activa. Esto no es un error o un mal funcionamiento del Stealth Phone, sino un resultado directo y una prueba de que el sistema ULIN extrae los datos relacionados con las llamadas no de su teléfono, sino de la red celular.
