Desde el miércoles por la noche y hasta la madrugada del próximo viernes, ciberespías de las principales empresas de spyware mundiales se reúnen en Barcelona en un encuentro secreto en el que participan empresas presuntamente vinculadas a la violación de derechos humanos. 

El evento, desvelado por este periódico en diciembre, se celebrará en un lugar indeterminado del barrio del Eixample de la capital catalana y en él se impartirán charlas sobre novedades y nuevos métodos para implementar software espía en dispositivos de ciudadanos, cargos públicos o cualquier otro objetivo de quien adquiera estos productos.

Fuentes del sector destacan, en todo caso, que uno de los platos fuertes del encuentro es el networking entre ciberespías así como la posibilidad de llegar a acuerdos comerciales entre empresas y clientes.

La reunión preocupa a algunas entidades de derechos humanos, como Amnistía Internacional o Access Now, especializada en derechos digitales, por el precedente que genera, por el aire de legitimidad que se les está dando a estas compañías a pesar de sus prácticas y por el hecho de que Barcelona se esté convirtiendo en la meca europea del ciberespionaje.

“Estos eventos buscan blanquear su legitimidad y animan a cada vez más proveedores de software espía a instalarse en ciudades europeas como bases de operaciones seguras”, explica Rand Hammoud, responsable global de vigilancia en Access Now.

Sobre el papel, las empresas que participarán en el evento se dedican a identificar vulnerabilidades en sistemas informáticos y dispositivos móviles, pero diversos expertos consultados afirman que esta descripción es un “eufemismo” para definir empresas que venden spyware a gobiernos y fuerzas de seguridad.

Tal y como desveló esta redacción, el encuentro está organizado por una compañía de spyware con sede en Barcelona pero fundada por un investigador israelí. La empresa, llamada Epsilon, está especializada en identificar vulnerabilidades de “día cero” —que nadie sabe que existen previamente— en teléfonos móviles y se jacta de ofrecer productos “zero-click”. Es decir, que pueden instalarse sin que la víctima tenga que clicar en ningún enlace ni aplicación. 

Lo que preocupa a las entidades es el hecho de que estas compañías hayan elegido Barcelona para instalar sus bases de operaciones, en una tendencia iniciada tras la pandemia y que ha llevado a decenas de ciberespías —buena parte de ellos israelíes— a instalarse y registrar sus empresas en la capital catalana.

Según algunas fuentes, uno de los objetivos de este traslado a Europa es la posibilidad de exportar sus productos a otros Estados miembro con menos restricciones que si lo hicieran desde Israel. Otras señalan que los Gobiernos europeos y sus agencias de seguridad son los mejores clientes de estas compañías al no tener desarrolladas por ellos mismos este tipo de herramientas. 

“Barcelona se ha convertido en los últimos años en un centro destacado para investigadores en seguridad”, apunta Donncha Ó Cearbhaill, responsable del Laboratorio de Seguridad de Amnistía Internacional. “Como ocurre habitualmente en el sector, se sabe poco sobre los clientes finales —gubernamentales o de otro tipo— de estas empresas”.

Desde Amnistía reclaman a los Estados Miembros de la UE y a las autoridades españolas “transparencia” sobre cualquier licencia de exportación concedida para la venta o exportación de productos de cibervigilancia de alto riesgo, como el spyware, y recuerdan que están sujetos a la normativa de exportaciones de armamento. 

“La aplicación débil de los controles de exportación genera un entorno permisivo en el que las empresas pueden operar desde Europa mientras exportan herramientas de vigilancia a gobiernos con graves vulneraciones de los derechos humanos”, incide Hammoud, de Access Now.

Empresas con un pasado turbio

Al frente de la compañía que organiza el evento aparece el francés Jeremy Fetiveau, un veterano del sector que trabajó anteriormente en Trenchant, una división de ciberseguridad del gigante de defensa estadounidense L3Harris.

Ni Fetiveau ni Epsilon han respondido a la solicitud de elDiario.es para comentar este artículo. El Ayuntamiento de Barcelona, por su parte, tampoco ha hecho ninguna declaración sobre la reunión que se celebra en la ciudad.

Otra compañía que estará en el evento es la israelí Radiant Research. Con sedes en Tel Aviv y Barcelona, emplea a veteranos de la unidad de ciberinteligencia militar de élite 8200, perteneciente a las Fuerzas de Defensa de Israel, junto con antiguos trabajadores de NSO, la empresa que desarrolló el software Pegasus.

La compañía vende sus productos a actores estatales en Occidente o a través de contratistas de defensa. “Desarrollamos capacidades cibernéticas avanzadas para un grupo selecto de agencias militares, de inteligencia y de aplicación de la ley”, señalan en su web. “Asumimos los desafíos de los que otros podrían apartarse”, añaden.

También participará en la reunión Paradigm Shift, sociedad registrada en 2024 por tres socios italianos que ofrece sus servicios a agencias de seguridad y fuerzas del orden.

Todos los fundadores de Paradigm Shift son antiguos empleados de Variston, una compañía señalada en 2023 por Google por proveer desde Barcelona software espía a un grupo de hackers que atacaba a ciudadanos de Emiratos Árabes Unidos.

Los aspiradores inteligentes se desplazan por los hogares guiados por sensores que reconocen muebles, esquinas y paredes, creando recorridos automáticos sin intervención humana. Estos dispositivos se programan con facilidad y limpian de forma autónoma incluso cuando nadie está en casa, lo que ha impulsado su presencia en millones de viviendas.

El sistema de navegación les permite recordar trayectos y adaptar su trabajo a cada superficie del suelo, con algoritmos que ajustan la potencia y el tiempo de limpieza según las condiciones detectadas. Además, pueden activarse desde el teléfono móvil y ofrecer informes del rendimiento después de cada uso. Su aparente simplicidad oculta una estructura digital compleja que combina cámaras, micrófonos y sensores de posición capaces de recopilar información precisa del entorno. Esa misma estructura es la que ha abierto un debate sobre la privacidad y el control de los datos generados en el interior de los hogares.

Un desarrollador detectó que su aparato enviaba información fuera del país sin permiso

El programador y aficionado a la electrónica Harishankar Narayanan, residente en India, descubrió que su aspiradora inteligente enviaba información de su vivienda a servidores situados fuera del país.

Según explicó en su blog Small World, el aparato había estado funcionando durante un año antes de que él decidiera observar su comportamiento en la red. “Mi robot aspirador estaba en constante comunicación con el fabricante, transmitiendo registros y telemetría que nunca autoricé”, afirmó Narayanan, que inició su investigación tras detectar un flujo continuo de datos hacia el exterior.

Para evitarlo, bloqueó el envío de esa información y permitió solo las actualizaciones del firmware. El dispositivo siguió funcionando unos días, pero una mañana dejó de encenderse. El técnico al que acudió comprobó que en el servicio de reparaciones funcionaba sin fallos, aunque al volver a casa volvió a apagarse. Narayanan repitió la operación varias veces hasta que la empresa rechazó nuevas revisiones por considerar agotada la garantía, lo que convirtió su aparato en un objeto inútil, sin causa aparente.

El programador advierte de que esta situación no es exclusiva. En su opinión, los dispositivos domésticos conectados representan un riesgo creciente porque mantienen comunicación constante con empresas que el consumidor apenas conoce. “Nuestros hogares están llenos de cámaras, micrófonos y sensores móviles conectados a compañías de las que sabemos muy poco”, señaló, subrayando que todos ellos pueden transformarse en instrumentos de control con una simple instrucción digital. Con ello, plantea un problema de alcance cotidiano sobre la gestión de los datos personales.

La investigación reveló un sistema que dibujaba la vivienda y lo compartía

Narayanan verificó después que la aspiradora enviaba datos sin interrupción desde el primer día. Para confirmar su sospecha, desmontó el dispositivo y reimprimió las placas de circuito. En ese proceso halló un programa de código abierto, Google Cartographer, diseñado para generar un mapa tridimensional del interior de las viviendas.

El aparato creaba ese modelo de su casa y lo transmitía automáticamente al fabricante. Ese descubrimiento confirmó que la información espacial recopilada por el robot formaba parte del producto, no solo como ayuda al funcionamiento sino como fuente de datos comercial.

El análisis del código le permitió localizar un comando remoto emitido por la empresa en el mismo momento en que la máquina se había detenido. Según su reconstrucción, esa orden había sido la causa evidente del apagado. Narayanan revirtió la instrucción y el dispositivo volvió a funcionar, lo que demostró que el fabricante tenía la capacidad de desactivar de forma remota cualquier unidad. “Habían usado su sistema de control para inutilizar mi aparato”, explicó. Esa constatación transformó el hallazgo en una denuncia sobre el control que ejercen las compañías tecnológicas una vez que los productos ya están en manos del consumidor.

El caso ha servido para poner en evidencia la dependencia creciente de los hogares respecto a dispositivos que actúan sin supervisión. La capacidad de registrar movimientos, construir modelos digitales de los espacios y enviar información de uso amplía el alcance de las empresas sobre la vida cotidiana.

Así, la comodidad prometida por los aspiradores automáticos puede derivar en una forma discreta de vigilancia en casa que, según Narayanan, merece una revisión urgente de sus mecanismos de seguridad y de las condiciones de uso que los acompañan.

Europa ha empezado a reconocer que su seguridad no puede depender de proveedores externos. Durante años, el viejo continente se había sentido cómodo delegando su defensa, también aquella relacionada con el ámbito digital, en el paraguas OTAN liderado por EEUU y de Israel, una de las grandes potencias internacionales en este campo. Sin embargo, la invasión rusa de Ucrania y el regreso de Donald Trump a la Casa Blanca, con la promesa de reducir el apoyo militar a sus socios europeos, puso los riesgos de esta política frente al espejo.

En respuesta, el bloque lazó un plan de rearme que aspira a movilizar hasta 800.000 millones de euros en los próximos años para reforzar sus capacidades militares, flexibilizar las reglas fiscales que limitan el gasto en defensa y fomentar adquisiciones conjuntas de armamento. Sin embargo, el genocidio perpetrado por Israel en Gaza y la repulsa internacional a contratar del país, cuyos sistemas se han probado y perfeccionado sobre los palestinos, ha añadido una capa más al debate.

Dentro de ese paquete, hay creciente preocupación —y también exigencia por parte del sector privado y algunas instituciones europeas— de que no solo se trate de comprar más blindados, drones o misiles, sino de asegurar la soberanía tecnológica: es decir, que Europa desarrolle tanto el software y los sistemas de ciberdefensa que operan esos aparatos, como los mecanismos que protejan sus redes, datos y comunicaciones.

“Estados Unidos, con la alianza de los Cinco Ojos (con Reino Unido, Canadá, Australia y Nueva Zelanda), junto a Israel, que prácticamente es una parte más de ese bloque, tienen una capacidad ciber, ofensiva y defensiva, incuestionable. Es un hecho que tienen una tecnología muy buena y que está por todas partes. En España hay mucha tecnología americana e israelí, lo mismo que en la Unión Europea”, explica Pepe Rosell, experto en ciberseguridad.

“La Unión Europea ha declinado durante muchos años estar en ese mercado, para bien o para mal nos hemos dedicado a otras cosas, y mientras hemos estado consumiendo tecnología de los aliados”, prosigue Rosell, director ejecutivo de S2grupo, una de las firmas españolas que son la excepción a esa regla. Con sede central en Valencia, ofrece servicios de seguridad, ciberinteligencia y ciberdefensa en 35 países.

“El problema es que en temas de seguridad no se puede hablar de amistades, hay que hablar de intereses”, avisa el especialista: “Los intereses van cambiando en función del contexto geopolítico global. Si los intereses coinciden te puede ir de maravilla, pero si los intereses no coinciden, pues de pena”.

“Efectos catastróficos”

Europa es profundamente dependiente de las importaciones de tecnología digital. Análisis como el Informe Draghi ha subrayado cómo el continente no solo llegó tarde a la revolución digital inicial liderada por Internet, sino que sigue siendo débil en tecnologías como la computación en la nube o la inteligencia artificial. En este campo, la UE depende de países extranjeros para más del 80% de sus productos, servicios, infraestructura y propiedad intelectual digitales, recoge el Informe.

“La seguridad que proporcionaba el paraguas de los Estados Unidos liberó los presupuestos de defensa para destinarlos a otras prioridades. En un mundo con una geopolítica estable, no teníamos motivos para preocuparnos por la creciente dependencia de países que esperábamos que siguieran siendo nuestros amigos”, refleja el texto: “Pero los cimientos sobre los que construimos se están tambaleando”.

Las amenazas a la cadena de suministro ocupan un lugar crítico en la UE, debido a su importante potencial para provocar efectos catastróficos

Agencia de la UE para la Ciberseguridad

La tecnología estadounidense está presente en todos los niveles del ecosistema digital europeo, desde los sistemas operativos hasta la nube o la defensa. Israel, en cambio, destaca en los ámbitos más sensibles: la ciberseguridad, la vigilancia y la tecnología militar. Sus herramientas, de las que el software de espionaje Pegasus es la más conocida, se han convertido en piezas críticas de la infraestructura de seguridad europea.

La Agencia de la UE para la Ciberseguridad (ENISA) también ha puesto negro sobre blanco las implicaciones de esa dependencia. “Las amenazas a la cadena de suministro ocupan un lugar crítico en la UE, debido a su amplio alcance, su dificultad de detección y el importante potencial que tienen para provocar efectos catastróficos en cadena”, advierte el organismo en su último análisis general sobre la ciberseguridad de la Unión.

Las dependencias excesivas de actores no pertenecientes a la UE en áreas críticas como la ciberseguridad amenazan con socavar la competitividad, la resiliencia democrática y la seguridad de Europa

Parlamento Europeo

Entre esos riesgos, destaca “la dependencia cada vez mayor de los servicios informáticos externalizados, que crean complejidades en la cadena de suministro y retos en materia de ciberseguridad, especialmente para las pymes”.

Uno de los últimos en llegar a esa conclusión ha sido el Parlamento Europeo. En un reciente informe, la institución destaca su preocupación “por las dependencias excesivas de actores no pertenecientes a la UE en áreas críticas como la infraestructura en la nube, los semiconductores, la IA y la ciberseguridad”. Áreas en las que “la concentración del mercado y el control extranjero amenazan con socavar la competitividad, la resiliencia democrática y la seguridad de Europa”.

Soluciones europeas

Como recalca la ENISA, la soberanía tecnológica no solo se juega en las infraestructuras críticas, sino también en el terreno de las pequeñas y medianas empresas. “Es un mundo a veces está un poco abandonado”, dice Diego León, de la firma de ciberseguridad Flameera. “Pero es fundamental que los servicios de seguridad continua sean accesibles para ellas, porque son mucho más eficientes que hacer una auditoría una vez al año”.

León coincide en que las empresas estadounidenses e israelíes son la referencia, pero destaca que cada vez son más habituales las asociaciones entre compañías europeas. En este sentido, señala un reciente acuerdo de colaboración con Aikido, una startup belga que busca integrar múltiples funciones relacionadas con seguridad en una sola plataforma. El objetivo es reducir el ruido de falsos positivos y facilitar que desarrolladores y pymes puedan aplicar buenas prácticas de ciberseguridad sin necesidad de equipos especializados.

“Sus dos principales rivales son una empresa estadounidense y otra israelí”, destaca el experto, “pero nosotros intentamos promover siempre las soluciones europeas”. “Lo ideal además es que las soluciones que empleen las pymes estén pensadas para su contexto”, y no solo que “intenten cuadrar” servicios pensados para organizaciones más grandes, ya que no todas son “la Ibex de turno que se puede permitir el último producto del mercado”.

España ha puesto en marcha un plan para dejar de depender tecnológicamente de Israel, pero el proceso aún está lejos de estar terminado. El Ministerio de Defensa ha cancelado contratos de armamento, pero sigue habiendo importaciones que provienen de licencias ya concedidas o acuerdos antiguos, además de adjudicaciones en curso pendientes que todavía podrían incluir componentes israelíes.

Bélgica, Países Bajos, Reino Unido, Italia o Alemania han tomado decisiones similares sobre las importaciones y exportaciones de armamento y material de doble uso (tecnologías con aplicación civil y militar) respecto a Israel.

Entre pragmatismo y soberanía

En un reciente reportaje de este medio, uno de los fundadores de la startup Aikido lamentaba que, durante muchos años, los poderes públicos y administraciones europeos no hayan priorizado los productos digitales europeos. “Los gobiernos contratan empresas extranjeras solo porque el precio es un poco mejor”, afeó, pidiéndoles que fueran un poco “más chovinistas”.

“En el esquema de la IA y la nube, también hay un componente muy grande de seguridad, de soberanía. No deberíamos ser ingenuos y pensar 'oh, estamos con Estados Unidos, así que todo irá bien'. Creo que deberíamos invertir en más soberanía en general”, añadía.

La industria digital del continente ha empezado a aplicar esa norma en sus operaciones. En septiembre, ASML —la empresa neerlandesa que hace las únicas máquinas capaces de producir chips superavanzados para la IA— acordó invertir 1.300 millones de euros en Mistral, una startup francesa de inteligencia artificial. El acuerdo llamó a la esperanza de muchos en el continente porque ASML podría haber pactado con cualquier empresa del sector, pero eligió Mistral porque otorgó un peso relevante a la soberanía tecnológica en la operación.

“Los americanos no tienen interés en que nos unamos, en que una empresa francesa trabaje con una empresa holandesa, por ejemplo, porque eso significa que es un verdadero espacio económico unificado y que, por lo tanto, tenemos una oportunidad en la guerra de la escala”, dijo Arthur Mensch, cofundador de Mistral, poco después del acuerdo.

No es el único síntoma de que el continente ha empezado a reaccionar. Esta semana, Países Bajos ha intervenido su segundo fabricante de chips más importante, Nexperia, tras detectar el riesgo de fuga de conocimientos y capacidades tecnológicas clave. La compañía había sido adquirida en 2019 por el grupo chino Wingtech, pero un tribunal de Ámsterdam ha destituido a su director y el Ejecutivo neerlandés se hará cargo de su gestión durante el próximo año.

El Ministerio para la Transformación Digital ha cancelado un contrato para renovar las redes de fibra óptica utilizadas por diversas instituciones públicas, entre ellas el Ministerio de Defensa, con equipos de Huawei, tal y como ha adelantado El País y ha podido confirmar elDiario.es. La adjudicación había recaído en Telefónica, que iba a encargarse de renovar parte de la RedIris, una infraestructura de más de 15.000 kilómetros de fibra que actualmente ya incorpora dispositivos de la firma china, instalados en 2020.

“El contrato se cancela por un cambio de estrategia. Se va a proceder a elaborar y publicar un nuevo contrato para renovar el equipamiento de una tercera parte de la RedIRIS con nuevo equipamiento dado que el actual está finalizando su ciclo de vida útil”, ha informado una portavoz del Ministerio. “Son motivos de estrategia digital y autonomía estratégica”, inciden las mismas fuentes, indicando que se va a optar por renovar los equipos en vez de actualizar los ya existentes.

La RedIRIS es la red académica y de investigación española, gestionada por Red.es, entidad pública que depende de Transformación Digital. Proporciona conectividad y servicios digitales a universidades, centros de investigación y otras instituciones públicas, y forma parte del entramado europeo de redes científicas de alta capacidad. Su infraestructura es clave para la comunidad científica y educativa, pero también para la seguridad nacional, debido a “la reciente conexión de las Academias Militares y centros educativos del Ministerio de Defensa”, como explica el pliego de condiciones publicado por Red.es.

Actualmente, la RedIris tiene una capacidad de 100Gbps y la intención de la empresa pública era elevarla hasta los 400Gbps. Para ello pedía la actualización de 12 routers y 77 switches (los equipos que gestionan el tráfico de datos dentro de la red y permiten que miles de usuarios se conecten y trabajen al mismo tiempo) de Huawei, debido a que eran los instalados hasta ahora. Transformación Digital optará ahora por sustituir ese equipamiento por completo.

La empresa china se ha convertido en un proveedor controvertido para este tipo de infraestructuras críticas debido a las sospechas de ciberespionaje ligadas a su proximidad con el Gobierno chino. Aunque la compañía siempre ha negado estas acusaciones, varios países europeos y Estados Unidos han impuesto restricciones a su participación en redes de telecomunicaciones o defensa, alegando riesgos de seguridad nacional.

Los cambios tecnológicos que trae consigo la inteligencia artificial generativa no escapan a ningún sector. Tampoco al de la defensa y el contraespionaje, que se esfuerzan por estar preparados para los nuevos ataques que podrían surgir de la mano de esta tecnología. Así lo han confesado altos mandos militares y de los servicios de inteligencia este martes en la conferencia de ciberdefensa organizada por Google.

“La inteligencia artificial puede ser una herramienta o una amenaza. Así que nosotros lo utilizamos para estar preparados para cualquier ataque que utilice este tipo de nueva tecnología. No podemos estar ciegos al respecto. Tenemos que aprender a utilizarla para estar preparados para lo que venga”, ha expuesto Enrique Pérez de Tena, jefe de Relaciones Internacionales y Cooperación del Mando Conjunto del Ciberespacio, una unidad militar especializada en el ámbito digital que integra a miembros de la Armada y de los Ejércitos de Tierra y del Aire.

Pérez de Tena ha explicado que la red se ha convertido en un entorno donde “hay una guerra que se libra todos los días”. Una guerra en la que hay diferentes bandos, aunque en unidades como la suya no pueden “confiar en nadie”. “Hoy en día, las corporaciones como Microsoft, Google o Amazon tienen el poder. ¿Por qué? Porque tienen los datos. Así que si tengo que elegir, prefiero estar en su bando que en el de sus enemigos”, ha reflejado el militar, que ostenta el rango capitán de fragata, equivalente a teniente coronel.

Pero compartir bando no significa que los aliados tengan siempre los mismos objetivos. “Ellas son empresas privadas y como tales su objetivo es ganar dinero. Ese no es mi objetivo”, proseguía Pérez de Tena. “Si tengo que estar en un bando, prefiero que sea en el suyo. Pero no confiamos en nadie por defecto”, desarrollaba.

España cuenta con tres equipos de referencia en la respuesta ante emergencias informáticas. Uno es el Instituto Nacional de Ciberseguridad, que cubre a empresas privadas y ciudadanos. El segundo es el Mando Conjunto de Ciberdefensa, de ámbito militar. El tercero es el Centro Criptológico Nacional, dependiente del CNI, que cubre al sector público y las infraestructuras críticas.

Carlos Abad es su responsable de ciberseguridad. “El primer reto es la velocidad a la que todo esto está sucediendo. La tecnología evoluciona a tal velocidad que ni siquiera los expertos pueden seguirla”, ha enumerado en referencia a los riesgos que presenta la inteligencia artificial para su organismo, que también realiza labores de contraespionaje.

“Lo segundo a tener en cuenta es que la superficie de ataque ha crecido”, ha continuado. “No sólo tenemos que proteger nuestras aplicaciones de redes tradicionales, sino también las de inteligencia artificial, que permite una amplificación masiva en las redes sociales y aumenta la amenaza y el desafío que tenemos que enfrentar”, ha descrito en el evento de Google, organizado en Málaga, sede del principal centro de ciberseguridad de la multinacional a nivel europeo.

Abad sí ha tendido la mano a la compañía estadounidense (“Podemos trabajar juntos, no veo muchos problemas si separamos los datos sensibles del resto de datos”, ha afirmado) y ha indicado que en este momento su principal preocupación es la formación de los responsables empresariales y del sector público. “Gerentes, directores y directores generales. Porque cuando les hablas de inteligencia artificial, creen que actúa como por arte de magia y piensan que aprietas un botón y todo se soluciona”, ha expuesto: “Es importante que sepan lo que la IA puede hacer por ti y lo que no”.

Google tiende la mano

Google se ha ofrecido a colaborar tanto con las empresas privadas como con los gobiernos para impedir que la inteligencia artificial se convierta en una amenaza de seguridad. “Toda la información que nosotros tenemos es pública y la compartimos con los gobiernos y con las empresas privadas”, ha declarado en conversación con elDiario.es su directora de seguridad en la nube para Europa, Oriente Medio y África, Cristina González Pitarch.

Aunque no se puede descartar que esta tecnología sirva para lanzar ataques más sofisticados contra instituciones y organizaciones, la directiva de la multinacional manifiesta que ese momento aún no ha llegado. “Vamos un paso por delante”, presume, explicando que la inteligencia artificial está siendo más útil para “detectar” y “cazar” esas ofensivas que para lanzarlas. “Los ataques tradicionales siguen siendo lo que más estamos viendo”, revela.

Vemos muchos ataques de Rusia, muy centrados en Ucrania. Pero también contra sedes diplomáticas de otros países de la UE. Su misión es desestabilizar y conseguir dinero

Los nombres de los atacantes que cita González Pitarch son viejos conocidos. Actores localizados en Rusia, China y Corea del Norte. “Vemos muchos ataques de Rusia, muy centrados en Ucrania. Pero también se está viendo ahora que esos mismos ataques se desarrollan contra sedes diplomáticas de otros países de la Unión Europea. Su misión es desestabilizar y conseguir dinero. Esos ataques pueden ser muy lucrativos y Rusia los está utilizando para financiarse”, relata.

Los ataques desde China, por el contrario se centran en “infraestructuras esenciales” o “en cosas pequeñas que usamos todos los días, lo que llamamos el Internet de las Cosas”, afirma. Se trata de una alerta que también ha lanzado Enrique Pérez de Tena y que está relacionada con la tecnología 5G. “Aumenta las vulnerabilidades de forma exponencial. Ahora puedo tener 2.000, pero mañana pueden ser 10.000. Nosotros tenemos que cubrir todos esos agujeros, pero los chicos malos sólo tienen que encontrar uno”, ha explicado.

En cualquier caso, la responsable de Google indica que España, aunque este lejos físicamente de los puntos de conflicto actuales, no es ajena a esa belicosidad en el terreno digital. “Esos ataques de naciones son los más preeminentes, son los que los que nosotros vemos”, apunta.

La receta para evitar estos riesgos, según la multinacional, es aumentar la formación de personal cualificado para enfrentarse a ellos. En ese sentido, Google ha anunciado este martes la inversión de un millón de euros en la Universidad de Málaga para ayudar a poner en marcha un programa de seminarios de ciberseguridad.

Las autoridades de inmigración de Estados Unidos han intentado reforzar el control y seguimiento de la actividad en redes sociales y han permitido a sus agentes crear y utilizar perfiles falsos para desarrollar operaciones muy diversas, incluida la investigación encubierta de la presencia en Internet de personas que solicitaban ayudas de inmigración.

Así lo demuestran documentos del Departamento de Seguridad Nacional a los que ha tenido acceso The Guardian. El Centro Brennan para la Justicia, una organización sin ánimo de lucro que defiende los derechos civiles, tramitó una solicitud para tener acceso a registros abiertos de ese Departamento y compartió la documentación con The Guardian.

Según los documentos obtenidos, las autoridades de varias agencias de inmigración del Departamento de Seguridad Nacional -entre ellas el Servicio de Aduanas y Protección de Fronteras, y el Servicio de Inmigración y Control de Aduanas- han abordado en repetidas ocasiones la conveniencia del uso en Internet de “alias” o cuentas encubiertas para sus investigaciones. Los funcionarios de las agencias han expresado su preocupación por las normas de las redes sociales que prohíben el uso de perfiles falsos e, incluso, se han planteado la posibilidad de saltárselas.

Los documentos no especifican qué redes sociales han utilizado los funcionarios pero para muchas de ellas, incluida Facebook, el uso de alias y perfiles falsos, también por parte de organismos gubernamentales, constituye una violación directa de los términos del acuerdo de servicio. De acuerdo con los documentos consultados, las actividades del Departamento de Seguridad Nacional eran tan preocupantes que un representante de la empresa se puso en contacto con la agencia para advertir de que podía estar incurriendo en una vulneración de las normas de la red social.

Vulnerar las normas de Facebook

Las revelaciones se producen en medio de una creciente preocupación por la privacidad en relación con cómo las fuerzas de seguridad de EEUU controlan la actividad en la red y recopilan y comparten los datos de las personas, en algunos casos sin orden judicial ni citación.

En los últimos años, la Policía ha utilizado cuentas falsas para espiar a los manifestantes del movimiento Black Lives Matter; los agentes se han hecho pasar por ciudadanos de a pie y han publicado comentarios atacando a los críticos de las fuerzas de seguridad. Asimismo, las autoridades han enviado solicitudes de amistad en Facebook a las personas que investigaban para recabar información personal sin la aprobación de un juez.

Facebook se ha opuesto públicamente a esta práctica de los departamentos de Policía de Los Ángeles y Memphis, y los archivos ponen en evidencia que la empresa ha expresado su disconformidad también en privado.

Es probable que los documentos del Departamento de Seguridad Nacional, que se remontan a varios años atrás, hagan saltar las alarmas de los grupos de defensa de los derechos civiles, dado que la agencia ya dispone de una extensa red de vigilancia que le permite rastrear a inmigrantes y, en ocasiones, a ciudadanos estadounidenses, ya sea accediendo a datos de localización de empresas tecnológicas, comprando información de usuarios a intermediarios de datos o utilizando el reconocimiento facial.

Uno de los documentos, relativo a políticas internas, evidencia que los funcionarios del Departamento de Seguridad Nacional que trabajan en la detección de fraudes y forman parte de los Servicios de Ciudadanía e Inmigración de EEUU pueden usar cuentas falsas para investigar a las personas que “solicitan ayudas de inmigración”. El documento ofrece detalles adicionales sobre una práctica que los Servicios anunciaron por primera vez en 2019.

Esos funcionarios -empleados de la agencia que decide quién obtiene permisos de residencia y ciudadanía- pueden recopilar una amplia gama de datos, incluidas direcciones físicas, información sobre relaciones, afiliaciones de empleo y educación, y cualquier publicación en redes sociales que sea “contraria a la información presentada por el solicitante”, tal y como dice la política.

Cualquier información hallada en estas investigaciones debe “guardarse” en el expediente de la persona, incluso si se considera que no es “peyorativa”, según el documento.

“Lo que vemos en estos documentos es lo extendido que está el uso de cuentas falsas, con los correspondientes intentos de ocultar su rastro al utilizar las redes sociales”, señala Rachel Levinson-Waldman, directora gerente del programa de Libertad y Seguridad Nacional del Centro Brennan. “Está claro que se hace con pleno conocimiento de que incumplen las políticas de una de las principales plataformas”, dice.

Las estrategias en redes sociales del Departamento de Seguridad Nacional llamaron la atención de Facebook en marzo de 2019, durante el mandato del presidente Donald Trump, cuando un representante contactó con el Departamento de Seguridad Nacional, preocupado porque el Servicio de Aduanas “ampliara su uso de las plataformas de medios sociales”.

El empleado de Facebook, cuyo nombre aparece en los documentos, citaba una evaluación de privacidad del Servicio de Aduanas recién publicada sobre la política de redes sociales de la agencia, que decía que “algunos miembros del personal del Servicio de Aduanas (...) pueden ocultar su identidad al ver los medios sociales con fines de seguridad operativa”.

Un experto en ciberseguridad e innovación del Departamento de Seguridad Nacional dijo que los empleados del Servicio de Aduanas podrían “crear cuentas” para ver información pública y “revisar las publicaciones captadas por las herramientas de supervisión con el fin de determinar si son relevantes para el conocimiento de la situación y la supervisión de amenazas”.

Un representante de Facebook indicó entonces que cualquier usuario que utilice la plataforma con un perfil falso está infringiendo sus normas: “Nuestra preocupación es que recibimos bastantes peticiones de gobiernos, grupos de defensa y nuestros usuarios para que nuestras empresas hagan más para detener la creación de cuentas fraudulentas por parte de estafadores y grupos terroristas. Como tal, la creación de perfiles falsos por parte de cualquier sector, incluidas las fuerzas de seguridad, vulnera nuestras normas”. No está claro cómo gestionó el Departamento de Seguridad Nacional las reservas y preocupaciones de Facebook.

Sin embargo, unos meses más tarde, de acuerdo con los documentos, los funcionarios seguían hablando sobre el uso de cuentas falsas. Según correos electrónicos entre funcionarios del Departamento de Seguridad Nacional incluidos en la documentación revisada, en agosto de 2019 la Oficina de Operaciones de Ejecución y Remoción del Servicio de Inmigración -que rastrea y detiene a personas para su deportación- expresó su interés en usar las redes sociales para operaciones de “fugitivos” y “detenidos”.

Cuentas falsas de agentes

“Me preocupa sobre todo la autoridad de la Oficina para crear un perfil falso y cómo podríamos eludir las condiciones de servicio de determinados proveedores de redes sociales”, escribió en aquel momento un responsable de privacidad del Departamento de Seguridad Nacional.

Casi al mismo tiempo, los funcionarios del Departamento de Seguridad Nacional escribieron que la unidad de Investigaciones de Seguridad Nacional del departamento, que lleva a cabo investigaciones criminales, estaba planeando utilizar pronto “alias”. Y un documento de política de esta unidad sobre el uso de las redes sociales, redactado en 2012, afirmaba que para las “operaciones encubiertas” los investigadores podrían “entablaran amistad o se asociaran con posibles infractores”.

Roy L Austin, vicepresidente de Meta (la empresa matriz de Facebook) y consejero general adjunto de derechos civiles de la compañía, afirma a The Guardian que desde Meta se ha recordado en repetidas ocasiones las políticas de autenticidad a varios departamentos encargados de hacer cumplir la ley, incluido el Departamento de Seguridad Nacional.

“Exigimos a todo el mundo, incluidas las fuerzas policiales, que utilicen su nombre auténtico en sus intercambios cotidianos en Facebook y dejamos clara esta política en nuestras normas”, dice en declaraciones enviadas por email. “Nuestra intención es asegurarnos de que los usuarios puedan seguir utilizando nuestras plataformas libres de vigilancia ilegal por parte del Gobierno o de agentes que actúan de forma no auténtica”, apunta.

Un portavoz de Meta, Ryan Brack, no quiso hacer comentarios sobre si se habían rastreado las violaciones continuas por parte del Departamento de Seguridad Nacional de EEUU.

Mientras, los portavoces del Departamento de Seguridad Nacional dan declinado responder a preguntas específicas sobre los documentos o sus prácticas en Facebook, pero en un correo electrónico sí han señalado que utilizan “diversas formas de tecnología en el cumplimiento de su misión, incluidas herramientas de apoyo a las investigaciones relacionadas, entre otras cosas, con las amenazas a las infraestructuras, el tráfico ilegal en la web oscura, la delincuencia transnacional transfronteriza y el terrorismo”. “Aprovechamos esta tecnología de manera coherente con sus protocolos y la ley”, aseguraron.

Un portavoz del Departamento de Seguridad Nacional ha confirmado que éste mantiene la política adoptada por la Administración Trump y continúa permitiendo el uso de cuentas falsas para investigar a las personas que buscan obtener algún tipo de beneficio de inmigración. Sin embargo, especificó que la agencia “solo recopila información de redes sociales disponible públicamente y que esté razonablemente relacionada con asuntos bajo consideración de nuestras unidades”.

El Servicio de Aduanas y Protección Fronteriza puede participar en un “monitoreo encubierto” en redes sociales mientras investiga, examina o realiza controles policiales sobre los solicitantes de ingreso a EEUU, de acuerdo con la política enviada por el portavoz, quien detalla que el Servicio de Aduanas puede recopilar información pública de esta manera, pero no puede “interactuar” con los objetivos de sus revisiones mientras actúa de forma “encubierta”.

El portavoz se negó a aclarar las prácticas de la agencia, alegando que “no hace comentarios sobre tácticas de investigación, técnicas, herramientas o investigaciones u operaciones en curso”.

Un documento de política obtenido por el Centro Brennan indica que los agentes de Inmigración pueden utilizar una “identidad ficticia” en las redes si “los procedimientos autorizarían tales comunicaciones en el mundo físico”. Los documentos obtenidos no revelan cómo podrían ser las cuentas falsas o con qué frecuencia y alcance se están utilizando.

En 2019 se descubrió que el Servicio de Inmigración y Control de Aduanas había creado perfiles falsos que parecían estar afiliados a una universidad, pero que en realidad se crearon como parte de una operación para poder recabar pruebas contra estudiantes extranjeros involucrados en fraudes de inmigración.

Por su parte, Meta afirma que el uso de “perfiles falsos” y herramientas informáticas para extraer información de Facebook con fines de vigilancia es una táctica habitual. Un informe de Meta de 2022 sobre el crecimiento del sector de la vigilancia por encargo afirmaba que las empresas con ánimo de lucro empleadas con fines de espionaje podían utilizar cientos de cuentas falsas para buscar y ver los perfiles de objetivos desconocidos.

Una herramienta poderosa pero intrusiva

“El mercado ha hecho que a estas empresas les merezca la pena seguir creando estas cuentas encubiertas y recopilando montones de datos”, afirma Levinson-Waldman, quien agrega que la Policía y las empresas de datos pueden malinterpretar fácilmente la información de las redes sociales y utilizarla como arma para inculpar a las personas: “Las cuentas falsas son muy susceptibles de uso indebido. Son una herramienta poderosa que puede ser muy intrusiva”.

Otros documentos hechos públicos tras la solicitud del Centro Brennan sobre la vigilancia de las redes sociales por parte del Departamento de Seguridad Nacional sugieren que la agencia trabaja con un gran número de entidades gubernamentales externas y, en ocasiones, con empresas privadas, lo que plantea cuestiones más amplias sobre dónde podrían acabar los datos de las personas.

De la documentación se desprende que la información obtenida o recopilada por el Servicio de Inmigración y Control de Aduanas podría compartirse con muchas entidades, incluidos otros departamentos encargados de hacer cumplir la ley.

En un caso, los agentes de deportación del Servicio de Inmigración y Control de Aduanas compartieron información con una agencia de Policía local que dijo estar investigando una denuncia de fraude electoral. En otro caso, el Servicio de Inmigración y Control de Aduanas envió un correo electrónico al Gobierno de Samoa, que había solicitado información sobre los deportados. Estos casos no parecían implicar solicitudes específicas de información disponible en redes sociales, pero sugieren que existía una comunicación general.

El Servicio de Inmigración y Control de Aduanas también ha accedido a una serie de herramientas para facilitar su vigilancia en línea. Los documentos muestran que el Servicio de Inmigración y Control de Aduanas e Investigaciones de Seguridad Nacional tenían un acuerdo para utilizar un servicio llamado Giant Oak Search Technology (Gost), que “puede encontrar noticias negativas en salas de chat, redes sociales y sitios web de debate, la web profunda y artículos o fuentes en idiomas extranjeros”.

En declaraciones por correo electrónico, el director ejecutivo de esa empresa ha indicado que ya no colabora con el Departamento de Seguridad Nacional y que está “orgulloso de Gost y de su capacidad para apoyar a quienes luchan contra amenazas gravesmcomo la trata de seres humanos y el tráfico de drogas, preservando al mismo tiempo la privacidad”.

El Servicio de Inmigración y Control de Aduanas también trató de utilizar una herramienta que enmascarara las direcciones IP de sus empleados al hacer una “revisión de las redes sociales”, según los correos electrónicos incluidos en la documentación. Y el servicio de Aduanas y Protección Fronteriza anunció recientemente planes para recopilar más ampliamente los datos de las redes sociales de los actuales titulares de visados cuando viajan hacia y desde EEUU, una propuesta a la que se han opuesto varios grupos de defensa de la privacidad digital.

“Hay tantos mecanismos diferentes para encontrar y rastrear a las personas y extraer conclusiones sobre ellas”, dice Levinson-Waldman, quien critica a las agencias como el Departamento de Seguridad Nacional. “Estos registros muestran un enfoque repetido en toda una serie de métodos para permitir el uso encubierto de las redes sociales”, advierte.

Hace once años, en junio de 2012, la red social profesional LinkedIn fue hackeada por cibercriminales rusos. Los piratas informáticos lograron comprometer la seguridad de la plataforma y obtener acceso no autorizado a una gran cantidad de cuentas de usuario, resultando en el robo de más de 6.5 millones de contraseñas.

Muchas personas descubrieron entonces con dolor el riesgo de utilizar la misma contraseña repetida en distintos servicios. Los piratas que habían forzado LinkedIn tuvieron acceso también a servicios de compras, banca online, tarjetas de crédito registradas en comercios, redes sociales y todo tipo de servicios en los que los incautos usuarios estaban usando la misma contraseña. 

Este caso ilustra la importancia de no utilizar contraseñas repetidas en diferentes servicios. Si un atacante logra descifrar o robar una contraseña en un sitio web, podrá utilizarla en otros servicios donde los usuarios empleen la misma clave. Además es crucial usar contraseñas seguras. No sirve tu fecha de nacimiento, ni una combinación de la fecha de nacimiento y la calle donde vives. Es decir, si tu contraseña es fácil de recordar, no es una buena contraseña.

Ese es el problema. Una contraseña segura como “x*ri45$1$M$P” no es algo que puedas recordar fácilmente. Si además tenemos en cuenta que una persona media hoy en día tiene que usar cerca de 100 contraseñas y todas ellas deben ser distintas y seguras, se convierte en una tarea solo al alcance de los campeones en memorización.

Si tu contraseña es fácil de recordar, no es una buena contraseña

Por desgracia, mucha gente utiliza contraseñas que un programa informático puede descifrar en un instante. Con el uso de scripts y técnicas automatizadas, los ciberdelincuentes pueden probar millones de combinaciones de contraseñas en cuestión de segundos. Lo peor es que a veces ni estos programas maliciosos tienen que esforzarse mucho.

Según un informe de Nordpass, una compañía de VPN (redes privadas virtuales), la contraseñas más usada en el mundo es “password” (contraseña en inglés) y la segunda “123456”. La contraseña “iloveyou” (te quiero en inglés) está en el número 41 de la lista. Afortunadamente, cada vez más servicios se niegan a aceptar estas contraseñas no seguras y obligan a los usuarios a introducir una combinación de mayúsculas, minúsculas, números y símbolos. 

Si has encontrado en esa lista alguna de tus contraseñas y si las repites en distintos servicios, estás poniéndote en riesgo. Hay una solución: un gestor de contraseñas.

Qué son los gestores de contraseñas

El gestor de contraseña es un programa de software que hoy en día resulta tan imprescindible como el navegador de Internet. Estas herramientas están diseñadas para almacenar de forma segura y cifrada todas nuestras contraseñas, ofreciendo una forma fácil de gestionar y acceder a ellas de manera rápida y segura. 

Los gestores de contraseñas funcionan almacenando nuestras contraseñas cifradas en una base de datos segura, que generalmente está protegida por una contraseña maestra. Esta contraseña maestra es la única que debemos memorizar y proporcionar al utilizar el gestor de contraseñas. 

Una vez que hemos iniciado sesión en el gestor de contraseñas con nuestra contraseña maestra, podemos acceder de forma segura a nuestras contraseñas almacenadas y utilizarlas para iniciar sesión en los servicios correspondientes.

Además de almacenar contraseñas, los gestores de contraseñas también pueden tener características adicionales, como por ejemplo:

¿Son seguros los gestores de contraseñas?

Parece contradictorio almacenar toda la información confidencial en un solo lugar. ¿Qué ocurre entonces si alguien hackea el gestor de contraseñas? De repente, el atacante tendría acceso a todas las contraseñas de todos nuestros servicios. Sin embargo, los expertos en ciberseguridad recomiendan los gestores de contraseñas como la forma más segura de controlar los datos.

La mecánica para mantener seguras esas contraseñas difiere ligeramente de un proveedor a otro. Por lo general, tienes una contraseña maestra larga y compleja que protege el resto de tu información. En algunos casos, también puedes recibir una clave de seguridad que debes introducir al iniciar sesión en nuevos dispositivos. Se trata de una cadena aleatoria de letras, números y símbolos que la empresa te enviará al registrarte. Sólo tú conoces esta clave, y como se almacena localmente en tu dispositivo o se imprime en papel, es más difícil de encontrar para los piratas informáticos.

Estas múltiples capas de seguridad dificultan que un atacante acceda a tu repositorio, incluso si el proveedor de tu gestor de contraseñas sufre un ataque. En la actualidad, la mayoría de los gestores de contraseñas también ofrecen algún nivel de cifrado según el estándar AES. El AES de 256 bits es el más potente porque ofrece el mayor número de combinaciones posibles, pero los AES de 128 o 192 bits siguen siendo buenos y muy difíciles de romper.

Los gestores de contraseñas más usados

He aquí cuatro ejemplos de programas gestores de contraseñas ampliamente conocidos, cada uno con sus características distintivas:

Los gestores de contraseñas en tus navegadores y sistemas operativos

Los sistemas operativos y navegadores más usados también han reconocido la importancia de la seguridad en línea y han incorporado sus propios gestores de contraseñas para facilitar a los usuarios la administración de sus credenciales de inicio de sesión. 

Estos sistemas integrados son el primer paso para gestionar contraseñas, aunque hay que tener en cuenta que pueden no ofrecer alguna de las opciones avanzadas de los programas dedicados, como la sincronización entre distintos dispositivos o entre distintos navegadores. 

La reutilización de contraseñas y la vulnerabilidad que conlleva son problemas significativos en la era digital que nuestros abuelos no tenían. Sin embargo, los programas gestores de contraseñas brindan una solución eficiente y segura para proteger nuestras cuentas en línea. Si no los usas, es momento de empezar.

Rusia es habitualmente relacionada con la ciberdelincuencia internacional. Uno de los motivos es que sus autoridades suelen hacer la vista gorda con las mafias que actúan en la red si estas centran sus ataques en el mundo occidental. A veces, obedecen a órdenes superiores y otras simplemente gracias a los sobornos. Esto hace que se identifique a los “hackers rusos” con ciberataques de toda índole, muchos de los cuales no tienen ninguna relación con el estado ruso ni son perpetrados por ciudadanos rusos.

Uno de los comandos que los especialistas en ciberseguridad saben que actúan bajo órdenes directas del Kremlin es Fancy Bear, formado en algún momento entre 2004 y 2008. Su código es APT28, derivado de las siglas en inglés de Amenaza Persistente Avanzada y se les señala como los autores de ciberoperaciones de alto nivel guiadas por motivaciones geoestratégicas marcadas desde Moscú. Entre ellas están el hackeo a Emanuel Macron, la incursión en las redes informáticas del Bundestag, el ataque a medios de comunicación franceses haciéndose pasar por miembros del ISIS, al Comité Nacional Demócrata durante las elecciones de EEUU o contra Ucrania durante los años previos a la invasión.

Una de sus últimas campañas fue contra organizaciones científicas. En esa operación cayó el Consejo Superior de Investigaciones Científicas (CSIC), el Instituto de investigación Max Plank de Alemania o la NASA. “Su objetivo fue el robo de información de bases de datos del CSIC”, explica Ana Junquera, investigadora de amenazas de la firma de ciberseguridad española Tarlogic. Qué datos buscaba Fancy Bear es un misterio, pero su ataque tuvo al centro español completamente paralizado durante un mes.

Junquera ha presentado una investigación sobre Fancy Bear en el marco de la RootedCon, el mayor congreso de ciberseguridad de España. La experta ha detallado el modus operandi de este grupo, las diferentes fases en las que desarrollan sus ataques y cómo se puede detectar su rastro.

Dependientes del GRU

El nombre “Fancy Bear” es una denominación occidental para este comando cibernético ruso, que se cree forma parte del GRU, la inteligencia militar rusa dedicada a operar en el exterior. La palabra “Bear” hace referencia a “oso” en inglés, un término usado para denominar a los hackers rusos. “Fancy” significa “sofisticado” y se le asigna por una palabra que el investigador que rastreó por primera vez su actividad encontró en el código del malware utilizado por el grupo.

El Gobierno ruso ha negado repetidamente cualquier vinculación con las acciones de Fancy Bear, pero los especialistas coinciden en señalar que las pruebas demuestran lo contrario. La primera son los objetivos del comando, que no siguen las motivaciones económicas de las mafias tradicionales sino las prioridades geoestratégicas del Kremlin. Los expertos que los han investigado han detectado además que su actividad siempre se desarrolla en horarios que van desde las 8.00 a las 20.00 horas de Moscú. “Es bien conocido que cada gobierno tiene por lo menos un grupo APT a su servicio. Rusia no iba a ser menos”, señala Junquera.

Su calificación como APT indica que es un actor que realiza operaciones cibernéticas de forma continuada. Cuando las defensas de sus objetivos mejoran, ellos encuentran nuevos vectores de ataque. Esto les diferencia de la gran mayoría de grupos de ciberdelincuentes habituales, cuyo período de actividad suele estar mucho más acotado a la vida útil de un determinado conjunto de herramientas de ataque especializadas. También están más dispuestos a llevar a cabo infiltraciones muy largas en las redes de sus objetivos, otra práctica que los ciberdelincuentes tradicionales prefieren evitar.

Operaciones con siete fases

Como ha expuesto Junquera, las operaciones de Fancy Bear suelen tener siete fases. La primera es la de reconocimiento, en la que se recopila información sobre el objetivo. La segunda es la militarización, durante la que se desarrollan las herramientas y el software que usarán durante el ataque. Después llega la fase de distribución, en la que se introduce ese software en las redes de la víctima aprovechando los puntos débiles descubiertos en la fase de reconocimiento, ya sea phishing o por conexiones físicas.

Las primeras tres fases se producen en la sombra, pero el punto de inflexión llega en la cuarta. Es la explotación, en la que se dispara el malware contra el objetivo y se compromete el equipo o su red. Después se produce la fase de instalación, “en la que el adversario busca establecer persistencia en el sistema, instalando puertas traseras, por ejemplo”, ha explicado Junquera. Las dos últimas son las de control, en la que Fancy Bear puede tomar el mando de los sistemas de la víctima para extraer información o ejecutar algún comando; y la de acciones sobre los objetivos, la “fase en la que el atacante se pretende expandir a otros objetivos (movimiento lateral) o realizar otras acciones sobre el objetivo como, por ejemplo, encriptar sus datos (ransomware)”.

Para llevar a cabo esta cadena de acciones, Fancy Bear utiliza diversas herramientas, algunas de diseño propio y otras de uso habitual por parte de los grupos de ciberdelincuentes. También es habitual que realice ataques de falsa bandera en los que pretende responsabilizar a otro actor de sus acciones, por lo que copia sus estrategias, métodos o mensajes.

Por todo ello, Junquera ha señalado que al contrario de lo que ocurre con otros grupos de ciberdelincuentes, el método más eficaz para descubrir si Fancy Bear está detrás de una acción concreta no es el análisis de los “indicadores de compromiso” tradicionales (las pistas tras un ciberataque, como el lenguaje del código malicioso utilizado).

Al contrario, señala que es más útil analizar las “tácticas, técnicas y procedimientos utilizados por el grupo”. Estas “indican el comportamiento del adversario y es en lo que debemos centrar nuestros esfuerzos defensivos” y son más “genéricas y difíciles de cambiar”. Durante su charla, la experta ha expuesto los detalles técnicos que marcan el comportamiento de Fancy Bear, así como una veintena de herramientas que el grupo usa para conseguir que su víctima descargue los archivos maliciosos que se usarán más tarde para 'ciberatarla' o para generar puertas traseras que dificulten que pueda defenderse en un futuro.

Crear un arma cibernética es jugar a una lotería en la que existen un gran número de boletos para que esta termine descontrolada. Ha ocurrido con Pegasus, supuestamente diseñado para combatir el crimen organizado y el terrorismo pero usado para atacar a activistas, abogados, periodistas y políticos de todo el mundo. El escándalo con el software de espionaje israelí sigue la línea de lo ocurrido con otras ciberarmas, como la que causó una de las infecciones informáticas más masivas hasta la fecha, nacida en los laboratorios de la NSA estadounidense.

Todo empezó el 12 de mayo de 2017. Muchos especialistas no lo vieron llegar porque, simplemente, no creían que algo así fuera factible. Uno de los primeros focos fue Telefónica, cuyos ordenadores quedaron encerrados tras la pantalla roja que estaba a punto de dar la vuelta al mundo. Luego cayó el sistema británico de salud. Luego la red ferroviaria alemana.

Les siguió FedEx, el Ministerio del Interior ruso y unos 300.000 sistemas informáticos de 150 países entre los que había instituciones, hospitales, empresas y ordenadores personales. La cifra exacta nunca se sabrá porque muchas compañías y gobiernos ocultaron que habían resultado afectados. Lo único que quedó claro es que había llegado WannaCry.

La infección estuvo cuatro días descontrolada y causó unos 3.000 millones de euros en daños. WannaCry era un gusano que podía saltar de un sistema a otro atacando un punto débil de Windows sin que el usuario tuviera que hacer nada para darle acceso. Cuando penetraba, cifraba los archivos de la víctima, impidiéndole realizar cualquier operación. A cambio de liberarlos exigía un rescate de 300 dólares en Bitcoin (que después subió a 600).

El método del ataque de WannaCry era sofisticado, pero la ejecución de este no lo era tanto. El motivo es que tenían autores diferentes. Esa forma de explotar Windows ('exploit') que utilizó WannaCry se subastaba en la red al mejor postor desde hacía meses y Microsoft la había cerrado dos meses antes de que se produjera la infección. “Los 'exploits' de WannaCry utilizados en el ataque fueron robados a la Agencia de Seguridad Nacional (NSA) de Estados Unidos”, denunció Brad Smith, presidente de Microsoft. “Fue como si al ejército estadounidense le robaran sus misiles Tomahawk”.

Los 'exploits' fueron robados a la NSA. Fue como si al ejército estadounidense le robaran sus misiles Tomahawk

Brad Smith — presidente de Microsoft

La NSA había creado una serie de arietes para explotar vulnerabilidades en los servicios digitales más conocidos y poder colarse en cualquier sistema informático. La agencia de inteligencia estadounidense los almacenaba (o almacena), algunos de ellos terminaron subastados en la red y la suerte para miles de empresas y usuarios estuvo echada. Alguien compró el exploit, diseñó un gusano para explotarlo y causó una infección mundial. EEUU y Reino Unido señalaron a Corea del Norte como responsable del diseño final de WannaCry.

“Este ataque es un ejemplo más de por qué la acumulación de vulnerabilidades por parte de los gobiernos es un problema”, denunciaba Smith: “Deben adoptar un enfoque diferente y atenerse en el ciberespacio a las mismas normas que se aplican a las armas en el mundo físico”. “En repetidas ocasiones, los 'exploits' en manos de los gobiernos se han filtrado al dominio público y han causado daños generalizados”, insistía.

Gran parte de los sistemas afectados fueron irrecuperables. El motivo es que, aunque los cibercriminales tras WannaCry exigían un rescate, no tenían un método fiable para saber de qué contagiado venía el pago y por tanto, no sabían qué sistema tenían que habilitar.

A pesar de ello, la afectación mundial no fue todo lo grave que pudo ser gracias a un héroe inesperado, un joven que entonces contaba con 22 años y vivía con sus padres en el Reino Unido. Este descubrió que WannaCry intentaba comunicarse constantemente con un dominio web que no existía pero cuyo nombre estaba escrito en el código. El joven registró el dominio por 10 dólares y dio por accidente con un sistema de desactivación del gusano. Era una especie de “apagado de emergencia” que los autores habían dejado programado, no está claro si como una forma de detener a WannaCry cuando decidieran hacerlo o como un puzle para los expertos en ciberseguridad.

Una infección mundial que cambió para siempre la ciberseguridad

WannaCry dejó un gran número de lecciones, además del peligro que suponen las ciberarmas y el riesgo de que terminen atacando indiscriminadamente. La primera fue el potencial cibercriminal de los ataques de 'ransomware' (del inglés ransom, rescate), que pasaron a ser explotados de forma masiva a partir de entonces. Otra, la utilidad que las criptomonedas iban a tener a partir de entonces para esos negocios oscuros.

El evento también fue una experiencia práctica sin igual para el lado de los ciberprotectores. La vulnerabilidad que WannaCry utilizaba para atacar Windows había sido parcheado por Microsoft dos meses antes: si los sistemas se hubieran mantenido actualizados, su impacto habría sido mínimo.

Con WannaCry se vio que había situaciones en las que algo muy potente podía afectar a cualquier empresa de cualquier tamaño, a cualquier administración, a cualquier persona

Marta Beltrán — directora del grado de Ingeniería de Ciberseguridad de la URJC

“Entonces seguía muy extendido el pensamiento de que, si no eras una empresa importante, nadie te iba a querer atacar. Con WannaCry se vio que había situaciones en las que algo muy potente podía afectar a cualquier empresa de cualquier tamaño, a cualquier administración, a cualquier persona individual. Y que podía ser algo que te tocara por mala suerte, completamente indiscriminado”, explica Marta Beltrán, directora del grado de Ingeniería de Ciberseguridad de la Universidad Rey Juan Carlos.

Los buenos mejoran, los malos también

El método de ataque, salido desde los laboratorios de la NSA e imparable sin la actualización, también mostró que había situaciones en las que, simplemente, no sería posible impedir que un ataque penetrara en los sistemas. “Hubo un cambio de concepción de la seguridad, porque hasta ese momento se invertía casi todo en la prevención. Pero a la hora de la verdad la gente no supo si tenía que apagar los ordenadores, si tenía que avisar a alguien, los equipos de respuesta no estaban coordinados... de ahí que al principio se extendiera y afectara tanto a muchas empresas. A partir de entonces se empezó a trabajar también en la capacidad de reacción”, continúa la experta.

Los cibercriminales también han mejorado sus métodos. Ya no les pasa lo de no saber muy bien quién les paga y para qué. De hecho, los ataques de ransomware han evolucionado hacia las extorsiones de doble o incluso de triple vuelta. Ahora, cuando comprometen a una organización, lo más seguro es que exijan varios pagos: uno por liberar los archivos y otro por no filtrar la información confidencial a la que han tenido acceso.

La reacción del Gobierno de Mariano Rajoy a la infección WannaCry fue anunciar la creación de un centro de ciberseguridad que pudiera coordinar todas las herramientas de protección con las que cuenta la administración pública. El anuncio de ese mismo centro se ha repetido desde entonces en todas las crisis de ciberseguridad y no se pondrá en marcha hasta, al menos, 2023.

Alrededor de Pegasus gira uno de los mayores escándalos de ciberespionaje hasta la fecha. Tanto por el número de víctimas (al menos 50.000, según la investigación de Forbidden Stories) como por la presencia entre ellas de mandatarios como Pedro Sánchez y Emmanuel Macron. Pegasus es muy potente y difícil de detectar, pero es solo el último de los protagonistas de la historia del malware ultradirigido capaz de hackear dispositivos para llevar el espionaje a un nuevo nivel. Esa historia tiene varios capítulos y uno de ellos se escribió en español.

El español fue una de las lenguas de programación de Careto, un software espía predecesor de Pegasus descubierto en 2014 por la firma de ciberseguridad Kaspersky. Estuvo activo desde 2007 e infectó al menos 1.000 IPs de 31 países diferentes hasta que fue descubierto, aunque se sospecha que fueron muchas más.

Careto no era tan potente como Pegasus, pero daba acceso a los atacantes a un gran número de funcionalidades de los dispositivos infectados. “Permite grabar conversaciones de Skype, ver todo lo que tecleas, sacar pantallazos, robar archivos, instalar cualquier cosa en tu equipo, en fin, todo un arsenal para espiar”, explicó entonces a elDiario.es Vicente Díaz, analista senior de malware en Kaspersky.

El hecho de que varias líneas de código estuvieran en una lengua diferente al inglés, el ruso o el chino era uno de los aspectos que hacían “extremadamente particular” a Careto, destacaban los investigadores de la empresa. No obstante, no solo era la lengua de programación lo que llamaba la atención, sino los términos utilizados.

“Diferentes componentes del malware incluyen artefactos lingüísticos de los autores, lo que sugiere que dominan el idioma español. Algunas palabras de argot utilizadas serían muy poco comunes en un hablante no nativo”, exponía el informe de Kaspersky. “Careto” era uno de ellas y a que terminó dando nombre al malware. Otras piezas de código como “Caguen1aMar”, que se utilizaba como una clave de cifrado para todas las comunicaciones con los servidores de control; o un módulo de desarrollo olvidado en el código final titulado “CaretoPruebas” también apuntaban a que su diseño se llevó a cabo por españoles.

Pero el uso de estos términos no fue el único rastro que apuntaba a que Careto pudo nacer en España. El español se usa en toda Latinoamérica y es una lengua oficial o cooficial en más de 20 países. Además, ya entonces no era descartable que el uso de jerga española fuera una falsa bandera, una pista errónea introducida para confundir a los investigadores. Al contrario, el principal factor que apuntaba a España era la lista de objetivos de Careto, que coincidía con los intereses geoestratégicos del Gobierno de Mariano Rajoy.

El mayor número de infecciones con Careto se produjeron en Marruecos, el objetivo número uno de este software de espionaje y del que ahora se sospecha que pudo lanzar Pegasus contra el Gobierno español. En segundo lugar estaba Brasil, que en aquel momento dirimía la adjudicación de una línea de tren de alta velocidad entre Río de Janeiro y Sao Paulo (511 km) a la que opositaba un consorcio de empresas españolas públicas y privadas. Ana Pastor, entonces ministra de Fomento, llegó a visitar Brasil para defender las capacidades españolas para acometer un contrato valorado en 13.000 millones de euros. El accidente de Santiago truncó la candidatura.

La lista sigue por Reino Unido y España, e incluía también a Venezuela y todos los países con litoral mediterráneo. Una de las apariciones más llamativas es la de Gibraltar. Los atacantes suspendieron la operación al sospechar que había sido descubierta, en enero de 2014.

Los principales infectados coincidieron con los intereses de un actor estatal. Fueron instituciones gubernamentales, legaciones diplomáticas y embajadas. Careto también se empleó contra infraestructuras críticas como compañías energéticas, incluidas las de petróleo y gas. Como Pegasus, en la lista de objetivos también aparecían grupos activistas.

Para infectar a sus objetivos, el grupo de atacantes que operaba Careto recurrió a técnicas de phishing. Suplantaron a varios medios de comunicación españoles e internacionales con enlaces falsos creados para hacerlos pasar por confiables ante las víctimas. “El sitio web malicioso contiene una serie de exploits diseñados para infectar al visitante. Una vez infectado, el sitio web malicioso redirige al usuario a un sitio web benigno, que puede ser una película de Youtube o un portal de noticias real”, recoge el informe.

Utilizar la identidad de medios de comunicación para infectar a las víctimas fue una táctica que Pegasus usó contra los independentistas catalanes y vascos. Esta es la lista de enlaces que Kaspersky detectó en el caso de Careto:

El principal objetivo de Careto era hacerse con contraseñas, configuraciones VPN o claves que daban acceso a servidores con seguridad adicional.

Kaspersky definió a Careto como uno de los softwares de espionaje “más complejos” que había detectado hasta ese momento. “Observamos un grado muy alto de profesionalidad en los procedimientos operativos del grupo que está detrás de este ataque”, señaló. Se basaba en la infraestructura que respaldaba la operación, el hecho de que esta se concluyera de inmediato al saberse observada o varias contramedidas que intentaban impedir que el software pudiera ser investigado. La firma consideraba que el grupo que estuviera detrás de Careto era “de élite”.

De hecho, sus investigadores reseñan que la operación pasó inadvertida durante al menos cinco años. El motivo de que firma la descubriera es que una de las vulnerabilidades que Careto explotaba se encontraba en uno de sus productos. Cuando la cerró, Kaspersky empezó a investigar quién la había explotado. Costin Raiu, entonces director del Equipo de Investigación y Análisis Global de la compañía, afirmó que de no ser por ello sus investigadores podrían no haberla encontrado nunca.

No es atribuible

Pese a todos los detalles descubiertos sobre Careto, la operación nunca pudo ser atribuida. Nadie acusó formalmente a España y España nunca emitió posicionamiento alguno. “Es muy difícil determinar quién ha sido el que ha distribuido un malware y sobre todo quién maneja los paneles de comando, que son los servidores que lo controlan”, explica Igor Unanue, jefe de Tecnología de la firma de ciberseguridad española S21Sec.

“A no ser que alguien pueda tener acceso a esos servidores y capte quién está detrás, es extremadamente difícil de determinar. Como Careto hay un montón de malware que siempre hemos sospechado que tiene detrás a un gobierno, pero que no se puede atribuir”, continúa el experto: “Con Pegasus hay muchas posibilidades de que ocurra lo mismo, a no ser que el CNI decida desclasificar o se llegue a conseguir algo por vía judicial”.

En cualquier caso, Unanue destaca que Pegasus y Careto no son asimilables. El lapso que les separa (el primero fue detectado por primera vez en 2017, mientras que la operación del segundo se cerró en 2014) hace que sus capacidades técnicas sean diferentes, mientras que su propósito tampoco es el mismo. Pegasus es un arma de espionaje para atacar objetivos concretos, mientras que el objetivo de Careto era sobre todo el robo de contraseñas y credenciales. El software de NSO es además un producto final, mientras que la industria no descarta que Careto fuera solo una prueba.

“Careto tuvo una expansión bastante generalizada, por lo que puede que fuera construido para probar las capacidades de adversarios y que después de eso se destruyera. Pegasus no es eso. Se diseñó específicamente para venderlo para el espionaje, un tipo de malware muy caro que hace que normalmente solo esté a disposición de gobiernos”, concluye Unanue.

El descubrimiento de un caso de ciberespionaje a 65 personas relacionadas con el independentismo entre 2018 y 2020, tiempo después del momento álgido del procés, ha salpicado la última semana la política española, ha tensado al máximo la relación entre Moncloa y la Generalitat, ha supuesto un nuevo roce en la coalición y ha puesto en duda el apoyo de ERC a algunas leyes clave para el Ejecutivo.

Para Ronald Deibert, el director y fundador de Citizen Lab, el laboratorio de investigación que ha destapado el 'CatalanGate', este caso debe ser una “llamada de atención” sobre las grietas en el control a las actividades de los servicios de inteligencia españoles y pide una comisión de investigación independiente para averiguar “quién ordenó el espionaje, quién pagó por Pegasus, cuánto se pagó y qué tipo de autorización se otorgó”.

Citizen Lab es un laboratorio multidisciplinar, que se dedica a investigar asuntos relacionados con la política estratégica de alto nivel, las tecnologías de la información y la comunicación, los derechos humanos y la seguridad a escala mundial. Desde su creación en 2001, este centro, adscrito a la Universidad de Toronto, ha abordado casos de ciberespionaje contra la sociedad civil, filtrado de datos en internet, limitaciones a la libertad de expresión en la red, ha examinado los mecanismos de transparencia de empresas, instituciones y agencias de inteligencia y ha desvelado casos que afectan a políticos de alto nivel, como al primer ministro británico Boris Johnson o el dalái lama.

¿Cómo comienza la investigación del espionaje en Catalunya? Los primeros reportes aparecen en prensa en julio de 2020, pero ustedes trabajaban desde mucho antes. ¿Desde cuándo?

La investigación comenzó en la segunda mitad de 2019. Citizen Lab se ofreció como voluntario para ayudar a WhatsApp a notificar a las víctimas de un ataque con Pegasus en el momento en que tenían datos. Notificamos a varios catalanes y, en ese momento, ninguno optó por hacerlo público. Sin embargo, varios sí lo hicieron en 2020. Desde entonces, hemos estado realizando investigaciones y entrevistas, según las estrictas pautas éticas de la Universidad de Toronto.

Para dar con los 65 espiados confirmados han tenido que hacer reportes forenses de sus aparatos pero, ¿cómo lograron hallar a estos 65?

Con entrevistas muy cuidadosas a potenciales víctimas y objetivos, moviéndonos de unos a otros. Debido a las limitaciones de nuestros métodos, sobre todo en torno a los dispositivos Android –de los más utilizados en esa región–, calculamos que el número real es mucho mayor que 65.

El sistema Pegasus es utilizado sobre todo por países con baja calidad democrática. ¿Les sorprendió que uno de los focos de espionaje más numerosos ocurriera en un Estado democrático como España?

Primero, es muy importante recordar que nosotros no atribuimos el espionaje que hemos destapado a ninguna agencia del Gobierno español en particular. Lo que señalamos es que existen pruebas circunstanciales, de diversa índole, que apuntan a que el Gobierno español es cliente de NSO Group –la compañía que vende el sistema Pegasus–. Dicho esto, si es el Gobierno español [quien está detrás de este espionaje], no me sorprendería. Prácticamente todos los gobiernos tienen la obligación de llevar a cabo labores de vigilancia para diversos fines y, en general, los gobiernos de la Unión Europea disponen de recursos y adquieren distintas tecnologías para hacerlo, como parte de las operaciones de inteligencia y en aplicación de la ley. También sabemos que NSO Group ha presionado mucho para conseguir clientes europeos.

¿Cómo ha sido la relación con el Govern durante la investigación? ¿Quién ha sido su interlocutor?

Hablamos con varios grupos y personas de la sociedad civil catalana que nos ayudaron en varias partes de nuestra investigación, pero nuestras conclusiones son nuestras y somos totalmente independientes de todos los gobiernos y empresas.

¿Tienen indicios de que estas actividades de espionaje hayan podido continuar más allá de 2020?

Es posible, pero en este momento no tenemos evidencias para decir que sea así.

Acceder a los dispositivos pirateados de amigos y familiares muestra un uso extremadamente imprudente de la tecnología de vigilancia

¿Qué les ha llamado la atención de este caso respecto a otras de sus investigaciones?

El gran número de víctimas que hemos descubierto en un solo caso es insólito y, de largo, el más elevado de cualquier investigación de Citizen Lab. El targeting relacional también es significativo, aunque lo hemos observado en otros casos. Acceder a los dispositivos pirateados de amigos y familiares muestra un uso extremadamente imprudente de la tecnología de vigilancia.

El ciberespionaje se está convirtiendo en una cuestión de seguridad nacional, ¿es también un arma al servicio de los Estados?

No me gusta hablar de “armas” en estas circunstancias. El espionaje es una práctica rutinaria de casi todos los gobiernos del mundo. Lo ha sido durante milenios. Lo que es nuevo hoy en día son las diversas formas de inteligencia privatizada y la tecnología de vigilancia comercial que está disponible para que los gobiernos se la compren al sector privado. Este mercado, en general, está mal regulado a nivel mundial y es muy propenso a que se produzcan abusos como los que hemos descubierto en España.

¿Hay alguna diferencia entre las técnicas de ciberespionaje que utilizan los Estados y las que utilizan los ciberdelincuentes?

En términos generales, no. Hay organizaciones de ciberdelincuentes muy sofisticadas que utilizan métodos y herramientas muy elaboradas, como también hay estados que emplean técnicas del ciberdelito. Algunos estados recurren a firmas de 'hack-for-hire' (hackeo por encargo), que están pluriempleadas en el inframundo ciberdelincuente. El modelo de negocio del software espía se reduce a piratear un dispositivo, para lo cual existen muchos métodos, herramientas, productos y servicios.

El problema real es si existen salvaguardas apropiadas para prevenir que se produzcan abusos. En los regímenes autoritarios o autocráticos, por lo general, no existen. De los gobiernos democráticos esperamos más

¿Considera legítimo el uso de sistemas como Pegasus por parte de los Estados? ¿Dónde está el límite?

Los gobiernos deben participar en la obtención de información y los organismos encargados de hacer cumplir la ley y las agencias de seguridad deben poder llevar a cabo labores de vigilancia. Existen muchas herramientas, métodos, productos y servicios diferentes que los gobiernos utilizan para hacerlo. El problema real es si existen salvaguardas apropiadas para prevenir que se produzcan abusos. En los regímenes autoritarios o autocráticos, por lo general, no existen. De los gobiernos democráticos esperamos más. Sin embargo, casi todos los gobiernos democráticos han tenido problemas con la supervisión de la inteligencia y la aplicación de la ley y los abusos son típicos en todo el mundo.

Este caso debería ser una llamada de atención para los ciudadanos y los políticos españoles sobre la necesidad de investigar con detenimiento su régimen de supervisión, que puede necesitar una reforma integral para evitar futuros incidentes como el 'CatalanGate'.

Muchos grupos políticos, no solo los que han sido espiados, piden al Gobierno español que aclare si espió a estas personas y para qué. ¿Usted cree que debería haber una comisión específica para investigar las responsabilidades del Gobierno?

Sí. Lo ideal sería organizar una investigación especial sobre el 'CatalanGate', que esté a cargo de una entidad independiente y bien dotada, como la figura de un fiscal especial en Estados Unidos o una investigación del Congreso. Esa entidad debería poder solicitar registros y obtener testimonios de todos los involucrados, para determinar quién ordenó el espionaje, quién pagó por Pegasus, cuánto se pagó y qué tipo de autorización se otorgó para la campaña general que hemos descubierto desde Citizen Lab.

También creo que la Unión Europea debería iniciar una investigación aparte, ya que algunos de los ataques tuvieron lugar mientras las víctimas estaban en Bélgica, Alemania y Suiza. Se suplantó la identidad de ONG en Suiza para engañar a las víctimas, lo que es muy inapropiado.

Dada la legislación actual, ¿cree que llegaremos a saber qué hay detrás del 'CatalanGate'?

Eso espero.

NSO podría tener los días contados. La empresa responsable del desarrollo de programas de espionaje que han hackeado a centenares de líderes mundiales, políticos y activistas, tendrá que responder por ello en los tribunales por las denuncias de Apple o Meta (matriz de Facebook, WhatsApp e Instagram) y ha sido incluida en la lista negra de EEUU o Reino Unido. Ahora reconoce que tanta exposición pública la ha dejado sin negocio.

Así lo exponen los abogados del fondo de capital riesgo dueño de la firma, que han afirmado ante un tribunal de Londres que está “absolutamente claro” que la desarrolladora del virus espía Pegasus se ha quedado “sin valor”.

El litigio enfrenta a los inversores del fondo Novalpina Capital, que compró NSO en 2019 por 1.000 millones de dólares, contra dos de las tres personas responsables de su gestión en el momento que se realizó la operación. Según la documentación aportada por los inversores, expuesta por el Financial Times, no se han producido nuevos encargos de Pegasus desde julio de 2021 y el fondo “ha perdido prácticamente toda su inversión en NSO”.

Pegasus es una potente herramienta de hackeo y espionaje que puede convertir el móvil de su objetivo en una grabadora de toda su actividad. Es capaz de activar de forma remota el micrófono, la cámara o el GPS a petición del atacante y hacerle llegar todo lo que registren, así como acceder a los mensajes, fotos o cualquier archivo almacenado en el dispositivo. NSO afirma que solo lo vende a gobiernos legítimos para que sea usado para combatir el crimen y el terrorismo. Pero su rastro se ha hallado en los teléfonos de activistas, políticos, opositores a regímenes autoritarios y periodistas de todo el mundo.

Ya antes de julio de 2021 se había documentado que Pegasus se usó para hackear, por ejemplo, los teléfonos de políticos independentistas catalanes, como reveló elDiario.es. Sin embargo, el pasado verano una investigación de varios medios internacionales en colaboración con Amnistía Internacional expuso que el software de espionaje se había usado masivamente contra miembros de la sociedad civil y líderes políticos que no están acusados de ningún delito.

El teléfono del presidente francés, Emmanuel Macron, estaba entre los que Pegasus había intentado asaltar. También el del presidente sudafricano, Cyril Ramaphosa. O el hasta hace unos días primer ministro paquistaní, Imran Khan, así como los de diplomáticos, jefes militares y altos cargos políticos de 34 países. Activistas, periodistas y abogados de Armenia, Azerbaiyán, India, Arabia Saudí, Palestina, Marruecos o El Salvador aparecían en la lista de objetivos, presuntamente asaltados por las agencias de inteligencia de sus respectivos países. La policía israelí también ha confesado haber usado Pegasus contra los organizadores de manifestaciones.

NSO niega todas las acusaciones y afirma que si Pegasus se ha usado de esa manera ha sido sin su conocimiento. Pero los escándalos no cesan. Esta misma semana la agencia Reuters ha revelado que el comisario europeo de Justicia, el belga Didier Reynders, así como miembros de su equipo, han sido atacados por el software espía. Su desarrolladora ha vuelto a negarlo en declaraciones a la agencia y afirma que el hackeo “no podría haber sucedido con herramientas de NSO”.

Responderá en los tribunales

Reynders fue informado de que su teléfono ha sido atacado por Pegasus a través de Apple. El fabricante descubrió el pasado septiembre que NSO había encontrado un agujero de seguridad en sus dispositivos que utilizó para inocular Pegasus a sus víctimas. Preparó una actualización de urgencia para parchear la brecha y envió mensajes a los cientos de afectados. También presentó una demanda contra la firma israelí por abusar de sus sistemas.

Será la segunda de este tipo a la que tendrá que responder NSO. La primera fue interpuesta por WhatsApp en 2019 tras detectar que había hackeado a 1.400 usuarios siguiendo exactamente el mismo manual. El caso estuvo empantanado hasta noviembre de 2021 por un recurso que la compañía israelí interpuso para intentar librarse de poder ser juzgada en EEUU, basándose en una supuesta inmunidad diplomática derivada de sus contratos con diferentes gobiernos. La justicia estadounidense ha rechazado la alegación, con lo que el proceso comenzará próximamente.

Los problemas judiciales se acumulan para NSO. La semana pasada fue denunciada ante los tribunales franceses por el activista francopalestino Salah Hammouri, que también vio como su teléfono era infectado con Pegasus. Las ONGs The International Federation for Human Rights y la Ligue des droits de l’homme se han personado en la denuncia junto a Hammouri. “La violación se inició en el Territorio Palestino Ocupado y continuó en suelo francés, lo que constituye una violación del derecho a la intimidad según la legislación francesa”, destacan las organizaciones.

NSO no ha contestado a las petición de información de elDiario.es sobre la denuncia de Hammouri. Se trata del primer proceso judicial que tendrá que afrontar en la UE y, junto a las recientes revelaciones sobre el espionaje al comisario de Justicia, pueden llevar a Bruselas a adoptar una posición más firme ante la compañía israelí. El bloque comunitario no ha seguido los pasos de EEUU y Reino Unido y no ha elevado ningún veto contra la firma por sus supuestas violaciones de los derechos humanos.

El pasado diciembre, 82 organizaciones de la sociedad civil instaron a la UE a reconsiderar esa postura. Piden “incluir urgentemente a NSO en su lista de sanciones globales y tomar todas las medidas apropiadas para prohibir la venta, la transferencia, la exportación, la importación y el uso de las tecnologías del Grupo NSO, así como la prestación de servicios de productos de NSO, hasta que se establezcan las salvaguardias adecuadas en materia de derechos humanos”.

Los Juegos Olímpicos de Invierno, que comienzan este viernes en Pekín, llegan en una normalidad tensa. La crisis de Ucrania ha desviado toda la atención diplomática hacia Rusia y el este de Europa, relegando a un segundo plano a China, foco habitual de esas tensiones en los últimos años. Pero ni siquiera los movimientos de tropas rusas hacia la frontera europea han podido evitar que una sombra de sospecha se extienda sobre la cita deportiva, con varios países y organismos independientes alertando de que existe un riesgo real de que el gigante asiático ciberataque a todos los participantes en los Juegos, desde atletas a periodistas, pasando por los comités olímpicos.

China somete a cibervigilancia extrema a sus ciudadanos y a los extranjeros, especialmente si son periodistas, activistas o personas relevantes en las redes sociales. Las autoridades del país interceptan de forma habitual las redes wifi y las comunicaciones no encriptadas en su rastreo de disidentes, por lo que la recomendación de las agencias de ciberseguridad occidentales es siempre extremar la precaución si se visita su territorio. No obstante, la alerta en estos Juegos ha llegado de un peligro mucho más concreto: la app que la organización obliga a instalar a todos los participantes.

El Comité Olímpico Internacional (COI) ha pedido a los atletas y sus entrenadores, a los periodistas y a los miembros de los comités deportivos que instalen esta app, llamada MY2022 y desarrollada por el Gobierno chino. Los usuarios deben introducir datos como su pasaporte o información del vuelo, así como de su estado de salud, como si tuvieron fiebre, fatiga, dolor de cabeza, tos, diarrea o dolor de garganta. La función principal de la app es el rastreo de contagios por coronavirus, pero también se usará para regular el acceso a los eventos e incluye noticias, un chat y una herramienta para la transferencia de archivos.

Según advierte un informe del Citizen Lab de la Universidad de Toronto, la aplicación “tiene un defecto sencillo pero devastador por el que se puede eludir el cifrado que protege las transferencias de audio y archivos de los usuarios”. “También son vulnerables los formularios de control sanitario que transmiten datos del pasaporte, información demográfica e historial médico y de viajes”, añaden los investigadores.

El Citizen Lab es un centro de investigación muy reputado en la investigación de ciberataques contra la sociedad civil. Sus investigadores son los responsables de buena parte de los hallazgos que se han hecho sobre Pegasus, el software diseñado por una empresa israelí que se ha utilizado para hackear los teléfonos de líderes mundiales, activistas, políticos y periodistas de todo el mundo. En MY2022 también han encontrado la capacidad de censurar las comunicaciones de los usuarios en base a una lista de 2.442 términos políticos.

Entre los términos que la app puede censurar está “Xi Jinping” (secretario general del Partido Comunista Chino) y otros organismos gubernamentales chinos, varias referencias a Tiananmen, al Tíbet, al Dalai Lama y a los uigures, una etnia musulmana que sufre la persecución de las autoridades chinas y cuyos miembros fueron apresados y retenidos en lugares que Pekín denomina “centros de formación profesional”, siendo obligados a trabajar en fábricas. La UE ha denunciado la situación como una “violación grave de los derechos humanos” e interpuesto sanciones contra las empresas que usan el algodón que sale de las factorías donde los uigures realizan trabajos forzados.

La capacidad de censura de la app está desactivada por el momento, según los análisis del Citizen Lab, aunque “no está claro por qué”. “Es posible que la censura se haya desactivado intencionadamente, en un intento de ocultar el alcance del régimen de censura de China a personas ajenas al país o por presión del COI [Comité Olímpico Internacional], que ya ha intentado negociar con el gobierno chino sobre los contenidos que puede y no puede censurar en los Juegos”, explican sus investigadores.

Es posible que la censura se haya desactivado intencionadamente, en un intento de ocultar el alcance del régimen de censura de China a personas ajenas al país o por presión del COI

Citizen Lab

La conclusión del Citizen Lab es que, pese a que la app cumpliría todos los requisitos, no existen pruebas de que el Gobierno chino la haya diseñado específicamente para el ciberespionaje. Sus numerosos riesgos, detalla el informe, podrían también ser una consecuencia del ecosistema de cibervigilancia masiva de los servicios digitales del país. Es una postura que no comparten otros análisis forenses realizados a la app, como el del experto en ciberseguridad Jonathan Scott.

“Después de hacer ingeniería inversa de toda la aplicación de Pekín 2022 para iOS y para Android, puedo decir definitivamente que todo el audio de los deportistas olímpicos está siendo recogido, analizado y almacenado en servidores chinos”, ha avisado este especialista.

Scott ha detectado, además, que en ese proceso interviene la tecnología de la empresa iFlytek, una de las compañías que EEUU ha incluido en su lista negra por sus vínculos con las operaciones de ciberespionaje llevadas a cabo por el Gobierno chino. La compañía está acusada también de vender herramientas de inteligencia artificial a las autoridades que son destinadas a la vigilancia y control de la minoría uigur.

“No hemos dado ninguna instrucción”

Antes de la serie de revelaciones sobre los riesgos de ciberseguridad de MY2022, EEUU ya había hecho la recomendación a sus atletas de no llevarse ningún dispositivo electrónico personal al gigante asiático y así evitar el riesgo de que fuera infectado con malware. Países Bajos, Reino Unido, Canadá o la República Checa también han pedido a sus participantes que sigan esta sencilla recomendación, así como que eviten conectarse a redes wifi y que utilicen aplicaciones que aseguren la comunicación cifrada.

España, al contrario, ha preferido no actuar al considerar el riesgo de ciberespionaje “un problema a nivel diplomático”, ha manifestado este jueves el director del Comité Olímpico Español (COE), Alejandro Blanco. “Nosotros no hemos dado ninguna instrucción, la gente viene a competir que es lo que tiene que hacer. Estamos en unos Juegos y los chicos llevan cuatro años luchando cada día por intentar ser los mejores y aquí venimos a hablar de deportes. Venimos a unos Juegos, venimos a competir e intentar ser felices todos”, ha añadido.

Los Juegos Olímpicos deben servir para intentar tener un tiempo de paz, de respeto y de compartir alegrías

Alejandro Blanco — presidente del COE

Los dos abanderados de la delegación española, Queralt Castellet (snowboard) y Ander Mirambell (skeleton) se han posicionado en el mismo sentido. “Hay que ser prácticos, aquí funciona todo con aplicaciones. Lo único que hemos visto son buenas intenciones por parte de todos, para ayudar, para que estemos lo más cómodos posible. No me parece que tengamos que tener miedo en ese sentido”, explicaba la primera. “Hoy día es más probable que te hackeen el teléfono en un aeropuerto que con una aplicación”, ha abundado su compañero.

El presidente del COE ha añadido que “los Juegos Olímpicos deben servir para intentar tener un tiempo de paz, de respeto y de compartir alegrías”. El COI ha sido criticado por cientos de ONG como Human Rights Watch o Aministía Internacional por mantener esta posición de tolerancia respecto a China pese a la vigilancia masiva a la que somete a su población, la represión contra los disidentes políticos y las repetidas violaciones de los derechos humanos que perpetra contra la población uigur.

Hasta 243 ONG firmaron una carta pidiendo el boicot diplomático contra los Juegos Olímpicos de Pekín ante la negativa del COI a actuar. Según ha publicado este jueves el Washington Post, un grupo de atletas está preparando un acto de protesta contra el Gobierno chino y el COI para la ceremonia de apertura.

La Policía de Israel ha utilizado el software de espionaje Pegasus de la empresa israelí NSO Group para rastrear los teléfonos de ciudadanos israelíes de distintos perfiles sin orden judicial, según ha revelado este martes el diario económico local Calcalist, aunque las autoridades niegan haber realizado esta práctica sin premiso previo de la Justicia.

Los cuerpos policiales habrían usado el programa para extraer información y espiar a alcaldes, antiguos empleados gubernamentales, activistas del movimiento Bandera Negra, que lideró las protestas contra el exprimer ministro Benjamín Netanyahu, e incluso una persona cercana a un cargo político de alto rango, dice el medio, que no ha desvelado la identidad exacta de los supuestamente espiados. 

Según Calcalist, el pirateo de sus teléfonos móviles se hizo sin permiso ni supervisión de ningún tribunal, ya que la Policía no solicitó previamente una orden de registro o escucha. Tampoco hubo control ni rendición de cuentas sobre la información y datos recopilados y se desconoce si todos estos detalles se enviaron a otras agencias estatales de investigación.

La orden de vigilar a ciudadanos israelíes que no son investigados por sospechas de haber cometido crímenes partió de altos cargos policiales, sostiene la investigación. Se habría usado, entre otros casos, para buscar pruebas de soborno en el móvil de un alcalde, en una etapa en que las pesquisas sobre este asunto aún eran confidenciales.

Pegasus también se ha utilizado para obtener información de un objetivo de inteligencia, pese a no tener detalles previos de que este hubiera cometido algún delito, y se pirateó el teléfono de una persona cercana a un alto cargo político para recoger evidencias como parte de una investigación por corrupción, sostiene el medio. Además, el software se instaló en los teléfonos de empleados de una empresa gubernamental bajo el pretexto de que eran sospechosos de fraude. 

Otra investigación del periódico israelí Haaretz sugiere que NSO cobró 2,7 millones de shekels (759.000 euros) a la Policía israelí en 2013 por una versión básica del programa.

Según la legislación israelí, sólo la agencia de inteligencia nacional, el Shin Bet, tiene autoridad para llevar a cabo este tipo de pirateo de teléfonos móviles sin una orden judicial y sólo lo puede hacer para prevenir ataques terroristas inminentes de palestinos, árabes israelíes o judíos israelíes. Este tipo de interceptaciones requieren la aprobación de un alto funcionario del Shin Bet o de la oficina del fiscal general.

El servicio de Policía israelí, sin embargo, no tiene esta exención y está obligado a solicitar una orden judicial. El cuerpo ha negado la validez de las informaciones de Calcalist y ha asegurado que “no hay base para tales acusaciones”. En un comunicado dice que “toda la actividad policial en este ámbito es conforme a la ley, en base a órdenes judiciales y estrictos procedimientos de trabajo”. Según la investigación, la Policía adquirió por primera vez el software Pegasus en 2013 y lo comenzó a utilizar en 2015.

El ministro de Seguridad Pública, Omer Barlev, ha dicho también en Twitter que “no hay prácticas de escuchas telefónicas o intrusión en dispositivos por parte de la Policía de Israel sin la aprobación de un juez”. 

La empresa de ciberseguridad israelí NSO Group fue una de las compañías de las que más se habló el año pasado, con múltiples casos de espionaje a políticos, activistas y periodistas de todo el mundo por el uso indebido de su polémico software Pegasus. Ante ello, el Gobierno israelí endureció el control de las exportaciones cibernéticas de la empresa.

La supuesta inmunidad de los israelíes, en tela de juicio

Aunque ya han surgido otros informes sobre el uso indebido del programa, vendido por el grupo israelí NSO a Gobiernos extranjeros, las últimas afirmaciones suponen un cambio importante al sugerir que los propios israelíes también han sido objeto de espionaje. Altos funcionarios de NSO han afirmado que el uso de su software contra números de teléfono israelíes y estadounidenses no está autorizado.

Es la primera vez que una información cuestiona las garantías dadas a los israelíes de que no podían ser víctimas de Pegasus, así como su supuesta protección a las intrusiones sin orden judicial.

El Jerusalem Post ha comentado al respecto que “de ser cierto, la investigación abriría brechas en una serie de narrativas de la NSO, la Policía y potencialmente la fiscalía estatal sobre el equilibrio adecuado entre la obtención de pruebas y el respeto de los derechos de privacidad de los ciudadanos y las protecciones judiciales contra los registros e incautaciones ilegales”.

La industria del ciberespionaje asegura que solo actúa contra criminales y terroristas, pero no es cierto. Como han revelado investigadores forenses o los propios servicios digitales donde cazan a sus víctimas, sus ataques se dirigen a menudo contra activistas, periodistas, políticos o disidentes de regímenes autoritarios. Ha ocurrido durante años, pero no ha sido hasta hace muy poco cuando se han elevado las voces que denuncian que esta actividad es ilegal y debe parar.

La primera empresa que actuó fue Facebook. Lo hizo en 2019 a través de WhastApp, que llevó a los tribunales a NSO, una empresa israelí que se había dedicado a hackear la app de mensajería para espiar a sus objetivos. Apple hizo lo mismo este noviembre al comprobar que sus teléfonos, ordenadores y relojes también habían sido hackeados.

NSO es la empresa más conocida de esta industria. Su virus espía, Pegasus, se ha usado contra miembros de la sociedad civil de todo el mundo, como en los teléfonos de políticos independentistas catalanes. Pero “NSO es sólo una pieza de un ecosistema global de cibermercenarios mucho más amplio”, avisa Facebook, que esta semana ha publicado un informe que destapa las prácticas de la industria del espionaje digital y señala a varias empresas.

“Estas empresas forman parte de una industria en expansión que proporciona herramientas de hacking y servicios de vigilancia de forma indiscriminada a cualquier cliente, independientemente de contra quién las dirijan o de los abusos de los derechos humanos que puedan desencadenar”, destaca el informe, firmado por los tres principales responsables de la seguridad de la corporación de redes sociales.

Su selección de objetivos es realmente indiscriminada e incluye a periodistas, disidentes, críticos de regímenes autoritarios y activistas de derechos humanos

“Su selección de objetivos es realmente indiscriminada e incluye a periodistas, disidentes, críticos de regímenes autoritarios, familias de opositores y activistas de derechos humanos”, recalca Facebook. “Es más, el uso de estos servicios de hacking impide ver quién puede ser cada cliente final, qué se recoge y cómo se utiliza la información contra grupos vulnerables”.

Una de las siete compañías que Facebook señala es Black Cube, fundada en Israel pero con sede en España. Sus oficinas están en el distrito financiero de la capital, en la Torre Europa, frente al Paseo de la Castellana. Está formada por ex agentes del Mossad y se la ha relacionado con el acoso a las víctimas de Harvey Weinstein o el espionaje industrial contra la constructora ACS.

Facebook le acusa de crear 300 cuentas falsas para hackear a usuarios de sus redes, con identidades adaptadas para cada objetivo. Simulaban ser estudiantes, trabajadores de ONG, activistas proderechos humanos o productores de cine o televisión. Con ellas intentaban engañar a sus víctimas para averiguar su correo electrónico o teléfono, “probablemente para posteriores ataques de phishing”.

“Nuestra investigación descubrió una amplia gama de clientes, incluidos particulares, empresas y bufetes de abogados de todo el mundo”, avisa el informe. “La selección de objetivos por parte de Black Cube en nombre de sus clientes también estaba muy extendida geográficamente y en todos los ámbitos, incluidos los sectores médico, minero, de minerales y energético. También incluyó a ONG de África, Europa del Este y Sudamérica, así como a activistas palestinos”.

elDiario.es se ha puesto en contacto con Black Cube, que niega todo lo que le imputa Facebook. “Black Cube no lleva a cabo ninguna suplantación de identidad ni hacking y no opera en el mundo cibernético”, aseguran fuentes de la compañía. “Black Cube trabaja con los principales bufetes de abogados del mundo en la demostración de sobornos, el descubrimiento de la corrupción y la recuperación de cientos de millones en activos robados. Black Cube cuenta con asesoramiento jurídico en todas las jurisdicciones en las que operamos para garantizar que todas las actividades de nuestros agentes se ajustan plenamente a las leyes locales”, añaden.

Las otras empresas señaladas por la red social son Cobwebs Technologies (EEUU), Cognyte (Israel), Bluehawk CI (Israel), BellTroX (India), Cytrox (Macedonia del Norte) y una entidad que actuaba desde China que no ha logrado identificar. Entre todas han atacado a 50.000 personas de todo el mundo, según ha detectado Facebook.

Las tres fases de la “cadena de vigilancia”

Cada una de esas empresas se dedicaba a una, dos o las tres fases de lo que Facebook llama “cadena de vigilancia”, un círculo de actividades de espionaje para la selección y ataque de víctimas. Las denomina reconocimiento, contacto y explotación. “Cada fase informa a la siguiente y a menudo se repiten en ciclos”, informa. A las cuentas falsas de Black Cube las ha pillado actuando en las tres etapas.

La fase de reconocimiento es la primera que se pone en marcha y también la más difícil de detectar, explica el informe. Se desarrolla en silencio. Se utiliza software de recopilación de datos que peina Internet en busca de fuentes de información sobre el objetivo, ya sea en redes sociales, medios de comunicación o foros. También se usan cuentas falsas para revisar sus me gusta y listas de amigos. Las dos herramientas pueden ser usadas por los ciberespías o puestas a disposición de sus clientes, resume Facebook.

El objetivo de la fase de contacto es generar confianza en las víctimas a partir de los datos del reconocimiento. “Para ello, los mercenarios suelen recurrir a tácticas de ingeniería social y utilizan identidades ficticias para ponerse en contacto con esas personas a través del email, llamadas o mensajes directos en las redes sociales”, detalla el informe. Esos perfiles están creados al detalle para poder establecer una relación con el objetivo.

Cada fase informa a la siguiente y a menudo se repiten en ciclos

Los contactos pueden ser muy prologados. A menudo las agencias de ciberespionaje crean un rastro de actividad de esas identidades falsas en Internet, como perfiles en otras redes o publicaciones en blogs, para que puedan soportar un escrutinio por parte de la víctima. Todo para que cuando le lancen el gancho, intentando sonsacarle la información que buscan o que se descargue un virus espía, caiga.

Ahí empieza la fase de explotación. El hackeo puede perseguir hacerse con las contraseñas sensibles del objetivo, información financiera o directamente comprometer sus dispositivos con esos programas de vigilancia, que pueden estar diseñados por la propia empresa de espionaje o comprados a terceros. Pegasus, por ejemplo, puede llevar a cabo una vigilancia total del teléfono u ordenador en que se implante, accediendo a la ubicación, aplicaciones, fotos, vídeos, mensajes, sesiones abiertas en él, contactos o pulsaciones en las teclas del teclado. También permite activar a voluntad y de forma remota la cámara, el micrófono o el GPS.

Sin consecuencias

El informe de Facebook concluye recordando que “estos cibermercenarios rara vez se enfrentaron a las consecuencias cuando sus productos se utilizan para atacar a actores vulnerables como activistas, periodistas y grupos minoritarios, causando graves daños”. La corporación pide la colaboración de la industria digital y los gobiernos para cambiar esto.

Facebook, que se ha visto envuelta en múltiples escándalos por sus prácticas de privacidad y dejadez con las consecuencias tóxicas que el uso de sus redes tiene en los usuarios, solicita también que se elaboren “guías éticas” para las empresas de ciberespionaje. En este caso cabe destacar que organizaciones de la sociedad civil como la Electronic Frontier Foundation (EFF) o el Citizen Lab de la Universidad de Toronto, así como otros gigantes digitales como Microsoft o Apple coinciden con la empresa de Mark Zuckerberg.

La ONU ha confirmado que su infraestructura de comunicaciones recibió un ciberataque en abril de este año y que actualmente está “respondiendo” a otros, después de que Bloomberg reportara que piratas informáticos robaron datos que podrían afectar a agencias de la organización. “Podemos confirmar que unos atacantes desconocidos fueron capaces de violar partes de la infraestructura de Naciones Unidas en abril de 2021”, ha reconocido en un comunicado el portavoz Stéphane Dujarric, que hizo referencia al reporte y a la firma de ciberseguridad Resecurity, que descubrió la vulneración del sistema.

“Naciones Unidas es a menudo objeto de ciberataques, incluyendo campañas sostenidas. También podemos confirmar que se han detectado y se está respondiendo a más ataques que están vinculados a la vulneración anterior”, agregó. Según el artículo de Bloomberg, que cita a Resecurity, los piratas informáticos accedieron a la infraestructura de Naciones Unidas usando las credenciales de un empleado que habían sido robadas y compradas en la “dark web”, y “recolectaron información sobre las redes informáticas de la ONU”.

La firma detectó el ciberataque de abril y descubrió que los piratas seguían activos en agosto, pero dijo a ese medio que la ONU dejó de responderle cuando le ofreció pruebas de que se habían robado datos durante el incidente. “Este ataque se había detectado antes de que fuéramos notificados por la compañía citada en el artículo de Bloomberg, y ya se habían planeado y estaban siendo implementadas acciones correctivas para mitigar el impacto de la vulneración”, explicó el portavoz de la ONU.

“En ese momento, agradecimos a la compañía que compartiera información relacionada con el incidente y le confirmamos la vulneración”, añadió. La seguridad cibernética en infraestructuras críticas es un problema creciente para las autoridades de EEUU, donde en los últimos meses se han producido ciberataques en sectores clave.

Uno de los más graves fue el sufrido en mayo por Colonial, la mayor red de oleoductos del país, mientras que ese mismo mes fue víctima, JBS, el procesador de carne más grande del mundo, y en julio hubo otra ofensiva contra Kaseya, una empresa de software que brinda servicios a más de 40.000 organizaciones en todo el mundo. El Gobierno de Joe Biden, que ha apuntado a Rusia como responsable de varios de los ataques, ha pedido recientemente a las empresas privadas que “eleven el listón” en ciberseguridad.

El Centro Criptológico Nacional (CCN), el organismo especializado en ciberseguridad del Centro Nacional de Inteligencia (CNI), ha recordado este jueves que “los Estados, y los grupos patrocinados por ellos”, siguen siendo la principal amenaza para España en el entorno digital y quien desarrolla la mayoría de los intentos de agresión contra infraestructuras críticas.

“Podríamos tener mañana un caso de ciberterrorismo, pero hasta ahora todos los casos que hemos tenido de ataques a infraestructuras críticas han venido de otro Estado, nunca han venido de un grupo terrorista”, ha explicado este martes Javier Candau, jefe del departamento de ciberseguridad del Centro Criptológico, en un acto convocado por la Agencia Española de Protección de Datos.

El Centro Criptológico Nacional detectó 38.029 “incidentes de seguridad” en 2018, un 43,65% más que en 2017. Alrededor de un 1% de ellos tuvieron una importancia “crítica”. En total el CCN tuvo que hacer frente a unos tres ataques diarios críticos o de importancia “muy alta”.

“Los terroristas usan mucho Internet para financiarse, para operaciones de propaganda, para radicalizar a su comunidad, pero casos de ciberterrorismo vemos pocos y lo tenemos en último lugar en la lista de amenazas”, ha continuado Candau, coronel de Artillería del Ejército de Tierra.

Como ha adelantado su responsable de ciberseguridad, en su último informe sobre las tendencias de las ciberamenazas, publicado este junio, el CCN coloca en el fondo de la lista al ciberterrorismo. Por delante están el hacktivismo y las acciones de grupos que actúan bajo el paraguas de la identidad colectiva Anonymous; la ciberdelincuencia –“más por el número de ataques que por el potencial riesgo”, ha aclarado Candau– y, en primer lugar, los ataques que llevan a cabo los Estados o sus organizaciones satélite.

El objetivo de estos hackeos impulsados desde otros gobiernos “es siempre el mismo”, ha continuado el experto: robar información. Es una evolución del espionaje tradicional y puede tener un fondo político, como perseguir una mejora de su posición estratégica o de cara a una negociación; o bien económica, como el robo de información industrial o sobre un avance científico. Se sospecha que esta era la motivación del atacante que estuvo meses infiltrado en las redes del Ministerio de Defensa.

No obstante, el CCN ha detectado un objetivo secundario en los hackeos gubernamentales complementaria al ciberespionaje: el sabotaje. En esta categoría entrarían los “intentos de influir en la opinión pública de los países atacados” o la “interrupción de servicios esenciales”.

Actores internos y vulnerabilidades humanas

“Hay un asunto que nos preocupa”, ha revelado Candau este jueves: “Y es que todos estos actores casi siempre utilizan usuarios internos para entrar en la organización y poder desplegarse sobre ella”. Se trata de miembros de la administración o personal contratado por la empresa atacada que colaboran y facilitan el hackeo de su propia organización.

El CCN ha detectado que este perfil es más habitual en los ataques motivados por motivos económicos, puesto que “la monetización deliberada es el principal motivo de este grupo de actores”. No obstante, la intervención de usuarios internos no siempre se produce de forma consciente.

“La mayor parte del daño parece ser causado por acciones no intencionadas de los empleados, como la divulgación accidental de datos (por ejemplo, el uso de direcciones de correo electrónico incorrectas), fallos en el reconocimiento de ataques de phishing o errores debidos a una configuración errónea”, explica el Centro Criptológico en su último informe.

La vulnerabilidad humana es también uno de los principales puntos de atención de los ataques por otros estados. “Pese a los importantes recursos de que disponen los agentes de las amenazas, en este tipo de ataques suele ser habitual el uso de técnicas muy simples”, aclara el CCN: “Suelen dar buenos resultados porque se aprovechan de las vulnerabilidades humanas de la víctima, de la que recaban información sensible o confidencial, que luego puede usarse para un ataque posterior”.

Mijas Comunicación es la empresa pública que engloba los medios de comunicación públicos del municipio mijeño. Engloba 3.40 TV (televisión), Radio Mijas, Mijas Semanal (periódico) y la web municipal. Hace apenas un mes, su anterior director Agustín Arrebola fue sustituido por Laura Delgado, que al llegar comprobó cómo una gran cantidad de información y correos electrónicos parecían haber desaparecido. Esto motivó que el Consejo de Administración del ente público acordara por unanimidad encargar una auditoría informática. Los resultados preliminares de ese trabajo constatan que el borrado existió, y algo más: según el perito que ha realizado la investigación, acreditarían que los ordenadores de los trabajadores y varios teléfonos fueron infectados con un virus espía.

El Consejo de Administración de Mijas Comunicación se reunió el pasado viernes para tratar, entre otros temas, de los resultados de la auditoría realizada por el perito informático César Gil Mauriz. Según ha podido contrastar eldiario.es/Andalucía, además de corroborar la sospecha inicial, el perito informó a los consejeros de que los ordenadores de parte de los 39 trabajadores (muchos de ellos periodistas) de Mijas Comunicación habían sido infectados con un software espía que analiza y clasifica los mensajes de correo electrónico o de mensajería instantánea.

El investigador aseguró a los miembros del consejo, concejales de la corporación, que habían sido registradas sus conversaciones e información muy delicada. Habría almacenadas conversaciones de todos ellos, menos de la consejera Mari Carmen Carmona, de Ciudadanos.

Este medio ha podido contrastar que la reunión se produjo en estos términos de tres fuentes conocedoras de la misma.

El perito apuntó a Agustín Arrebola como posible responsable del borrado de información, hasta 831 gigabytes. Arrebola, trabajador del ente, fue director de Mijas Comunicación desde febrero de 2016 hasta el pasado 13 de febrero, cuando fue cesado por el Consejo de Administración con los votos de PP, PSOE y Costa del Sol Sí Puede. Sólo mantuvo el apoyo de Ciudadanos, que después de la ruptura con el PSOE gobierna en minoría con cinco concejales (de un total de 25). Arrebola no ha respondido a las llamadas y mensajes de este medio.

La negativa de Ciudadanos a apoyar al candidato del PSOE como consejero delegado de Mijas Comunicación fue, precisamente, uno de los motivos de la ruptura del acuerdo de Gobierno que han mantenido durante gran parte de la legislatura.

Los últimos cuatro años han sido convulsos en Mijas, un municipio con cerca de 80.000 habitantes censados (más una amplia población flotante extranjera) y 100 millones de presupuesto anual. El exalcalde Ángel Nozal ha sido investigado en varios procedimientos judiciales, y la inestabilidad ha dominado la política municipal, con hasta cuatro configuraciones de gobierno distintas: Ciudadanos y PP; Ciudadanos, PSOE y Costa del Sol Sí Puede; Ciudadanos y PSOE; y Ciudadanos, que gobierna con solo cinco concejales tras la ruptura con el PSOE el pasado enero.

Manipulación de las cámaras de seguridad

Gil Mauriz también mostró a los consejeros una cámara espía que estaría guardada en un armario al que tenía acceso el exdirector. Además, les informó de que Arrebola se llevó material pocas horas después de ser cesado, por la noche, y manipulando el horario de las cámaras de seguridad que le grabaron, según el perito. El día anterior al cese habría instalado software para mantener el control con acceso en remoto. En el curso de la reunión, el experto explicó que la fuga de información y los accesos externos a los ordenadores de los trabajadores de Mijas Comunicación se siguen produciendo.

El investigador comentó a los consejeros que se había intentado destruir la información que había acumulado, pero que él había conseguido recuperarla gracias a la aplicación de un software avanzado.

Gil Mauriz no entregó ningún informe escrito de las revelaciones de su investigación, que sigue abierta y debería continuar con la entrega del dictamen próximamente. Este medio ha contactado con Agustín Arrebola, sin recibir respuesta. La directora actual se acoge al deber de confidencialidad para no aportar información sobre esta investigación. La misma respuesta da el ayuntamiento de Mijas.

La historia que este jueves publicó el Bloomberg Businessweek puede ser una bomba o un farol. Nadie lo sabe, solo Jordan Robertson y Michael Riley, los periodistas que firman la pieza. En plena guerra comercial entre China y EEUU, el artículo viene a echar más leña al fuego en unas relaciones deterioradas, ya de por sí. Ayer, al cierre del SMCI (el mercado donde cotizan las empresas de componentes electrónicos en EEUU), las acciones de Supermicro caían un 41%.

Si han llegado tarde a la historia, es la siguiente: una división del Ejército Popular de Liberación chino sobornó, según Bloomberg, a varios directivos de las plantas de fabricación de Supermicro en el país asiático. La empresa, estadounidense, se dedica a la producción de materiales electrónicos (placas base sobre todo) y tiene subcontratas por todo el mundo, China incluida. Cuatro plantas de fabricación de Supermicro allí habrían instalado unos minúsculos microchips de vigilancia en las placas madre que luego van a parar a los servidores de Amazon, Apple y hasta 30 grandes tecnológicas estadounidenses más.

Unas horas después de publicar la historia original, la prestigiosa publicación estadounidense lanzó otro artículo. También sin revelar fuentes, Bloomberg asegura que la web de Supermicro dedicada a proveer actualizaciones de software críticas para sus componentes llevaba desde 2015 hackeada por los espías chinos. En ese periodo, Facebook y otro cliente más de la empresa descargaron actualizaciones para las tarjetas de red de sus placas base e instalaron, sin querer, el código maligno. “Nos enteramos en 2015 de la manipulación del software de Supermicro gracias a nuestros socios en la industria, a través de nuestros programas de intercambio de información”, explica, teóricamente, Facebook a la publicación. Este malware no habría hecho otra cosa sino complementar y aumentar la capacidad de los microchips-espía que llevaban las placas madre.

La otra cuestión que desliza el reportaje es que Apple también sabía de la existencia de ese código maligno en la web de Supermicro. Casualidad o no, la compañía de Tim Cook cortó relaciones comerciales con la empresa a mediados de 2016, poco después de encontrar malware en un servidor. Sin embargo, en la contestación que los de Cupertino dan al Businessweek tras publicar el primer reportaje, aseguran que “no descubrimos ninguna vulnerabilidad inusual en los servidores que compramos de Supermicro cuando actualizamos el firmware y el software, de acuerdo con nuestros procedimientos estándar”. Apple publicó después un comunicado, que puede leerse en su página web, donde niegan todo.

Luces y sombras del Businessweek

“Todo lo que he leído cuestiona o niega la información de Bloomberg”, explica a eldiario.es Yolanda Quintana, periodista, cofundadora de la Plataforma en Defensa de la Libertad de Información (PDLI) y autora de Ciberguerra (Catarata, 2016). “Yo pondría el acento precisamente en el problema que representa para la gestión de la seguridad”, continúa. Como apunta Quintana, la mayor parte de las publicaciones especializadas en Internet dudan sobre la veracidad de la historia.

En primer lugar, el artículo cita hasta a 17 fuentes anónimas. Sabemos que están relacionadas con el Gobierno de los EEUU, la CIA, el Departamento de Defensa, Apple, Amazon y el resto de empresas supuestamente afectadas por el hackeo. Por un lado, que sean anonimizadas es entendible, ya que si realmente están compartiendo información confidencial pueden enfrentarse a penas de cárcel o a demandas millonarias por parte del gobierno o de sus compañías. Pero a la vez, todo eso resta credibilidad a la historia.

Las rotundas negativas por parte de las empresas tecnológicas no favorecen al reportaje. Pero tenemos precedentes similares que luego resultaron ser ciertos: el más cercano data del año 2013, cuando el exanalista de la NSA Edward Snowden destapó el proyecto PRISM y todas las grandes tecnológicas negaron al principio y asumieron después. Quintana abunda en esto: “Existe una falta de credibilidad de las fuentes con capacidad de desmentirlo, como los servicios de inteligencia y las empresas tecnológicas tras todo lo que conocemos de su complicidad y participación en prácticas análogas”, dice refiriéndose a los papeles de Snowden.

El GCHQ británico ha sido el último en dudar de la historia: “No hay razones para dudar de los comunicados de Apple y Amazon”, dicen. Pero no olvidemos que ellos fueron, junto a EEUU, los principales colaboradores del programa masivo de cibervigilancia.

Directo al corazón de la cadena de montaje

Varios expertos en seguridad informática entrevistados por The Verge consideran que la historia, de ser verdad, nos mostraría un hackeo “modo-dios” que “no solo sería difícil de detectar, sino que también se trataría de algo capaz de sortear hasta las más sofisticadas medidas de seguridad de software”. Antes que China, la NSA estadounidense ya usó herramientas de localización en routers y otros dispositivos electrónicos que luego iban a parar al propio país asiático. 

“Hay precedentes de sabotajes documentados por parte de servicios de ciberespionaje a dispositivos informáticos que demuestran que ese camino ya está abierto”, continúa Quintana. Precisamente por esto, en febrero de este año el Gobierno de los EEUU aconsejaba a su población no comprar móviles de las marcas Huawei y ZTE. El pasado agosto, Donald Trump firmó una orden para prohibir a todo el gobierno usar teléfonos de esas compañías.

Una investigación de The Atlantic en 2013 puso de manifiesto que China fabrica el 90% de los ordenadores del mercado. Si la historia de Bloomberg es cierta, es una bomba: no hay precedentes que hablen de un hackeo similar. Golpea directamente al corazón de la cadena de montaje. “Esto nos vuelve a demostrar una máxima que deberíamos recordar a los servicios de inteligencia de todo el mundo embarcados en operaciones de ciberguerra: la gente que vive en casas de cristal, no debería dedicarse a tirar piedras”, concluye Quintana.

La Organización para la Seguridad y la Cooperación en Europa (OSCE) ha admitido que ha sido víctima de un ciberataque, una noticia que ha adelantado el diario francés Le Monde que va más allá y señala como responsable a un grupo de ciberespionaje ruso.

La OSCE, sin embargo, ha evitado señalar a los responsables del ataque. “La organización se percató del ataque a finales del mes de octubre”, ha explicado una portavoz, Natacha Rajakovic, en declaraciones recogidas por Europa Press.

El rotativo francés señala además que los 57 Estados miembro fueron alertados sobre la intrusión, atribuida extraoficialmente al grupo de ciberespionaje APT28. Esta organización, a la que se atribuyen vínculos con Rusia, también habría sido la responsable de los ataques contra el Partido Demócrata de Hillary Clinton durante la reciente campaña electoral en EEUU.

La OSCE, de la que Rusia forma parte, es la responsable de supervisar el alto el fuego acordado en el este de Ucrania, donde estalló en abril de 2014 un conflicto armado entre el Ejército ucraniano y rebeldes separatistas prorrusos.

Sospechas alemanas

Hace tan solo unas semanas, el Gobierno alemán reiteraba su temor a que Rusia tratara de influir en las elecciones generales del próximo año a través de ciberataques, informaciones falsas y campañas de desinformación. La portavoz adjunto del Ejecutivo alemán, Ulrike Demmer, aseguró a la prensa que ésa es la postura que mantiene el Gobierno y que la canciller, Angela Merkel, ha repetido en varias ocasiones, pese a las declaraciones en sentido contrario del ministro de Exteriores ruso, Serguéi Lavrov.

 Según los analistas de la inteligencia alemana, la fijación de Rusia con Berlín tiene una clara intencionalidad geopolítica. “Debido a la significativa posición de la República Federal en la Unión Europea y especialmente al papel de mediador alemán en la superación del conflicto en Ucrania, la política alemana, la administración y el ejército están especialmente expuestos a un alto peligro a través de un ciberataque de los servicios secretos rusos”, argumentaba.

A juicio de los expertos de la BfV, los ataques cibernéticos al Bundestag y a la Unión Cristianodemócrata -el partido de Merkel- demuestran que los “responsables políticos (alemanes) están en el campo de visión de los atacantes”.

El presidente del departamento de Protección de la Constitución (BfV), Hans-Georg Maassen, afirmó la semana pasada que se había detectado una creciente actividad del espionaje cibernético y expresó el temor a que vayan en aumento en los próximos meses.

El BfV también atribuía estas actividades a los ciberespías denominados APT 28.