El presunto hackeo contra políticos, abogados, académicos y periodistas catalanes y vascos para introducir software de espionaje en sus teléfonos, destapado por el Citizen Lab de la Universidad de Toronto, tuvo un gran nivel de personalización para cada objetivo. Los atacantes diseñaron ganchos muy específicos, suplantando la identidad de ONG, medios de comunicación, instituciones públicas y empresas privadas para intentar engañar a las víctimas y que clicaran en enlaces que aparentaban ser confiables. En realidad, estaban fabricados para comprometer sus dispositivos.
Según la investigación del organismo canadiense, los ataques se produjeron contra “al menos” 65 personas relacionadas con el movimiento independentista, aunque no en todos los casos tuvieron éxito. Se trata en cualquier caso de la mayor operación de espionaje contra un solo grupo de víctimas documentada por estos investigadores, que se han especializado en rastrear el uso del virus espía Pegasus alrededor del mundo. Por detrás quedan los lanzados contra periodistas de Al Jazeera (36 víctimas) y El Salvador (35).
El informe sobre el presunto espionaje contra los líderes independentistas y su entorno detalla múltiples formas de infección. Algunos objetivos fueron atacados decenas de veces entre 2017 y 2020. “Muchas víctimas fueron objeto de ataques basados en SMS, y hemos recopilado más de 200 mensajes de este tipo”, afirma el Citizen Lab. “La sofisticación y la personalización de los mensajes varían según los intentos, pero reflejan un conocimiento a menudo detallado de los hábitos, intereses, actividades y preocupaciones del objetivo”.
“En muchos casos, el momento o el contenido del texto estaban muy adaptados a los objetivos e indican el probable uso de otras formas de vigilancia”, exponen los investigadores.
En su intento de infectar los teléfonos de los independentistas, los atacantes suplantaron a la Agencia Tributaria, la Seguridad Social o a empresas de mensajería, entes tras los que numerosos ciberdelincuentes se enmascaran habitualmente para hackear a los usuarios. También se suplantó a compañías aéreas en mensajes trampa que fingían ser tarjetas de embarque para vuelos que efectivamente las víctimas habían comprado.
Alertas de medios y ONGs vía Twitter
Si bien los SMS fraudulentos son una vía de hackeo muy corriente fuera de la industria del ciberespionaje, no lo son tanto los que se basan en notificaciones de Twitter o en alertas de medios de comunicación. En este último caso los atacantes diseñaron avisos sobre presuntas noticias que tendrían interés para sus víctimas, como varias informaciones ficticias sobre Carles Puigdemont que fueron enviadas como gancho a políticos de ERC.
Además de esas noticias ficticias de los medios, los atacantes también simularon falsas comunicaciones de ONG como Human Rights Watch (HRW) o European Digital Rights (EDRi). “Usar a una organización de derechos humanos como EDRi como un ataque de phishing para tomar control del teléfono móvil de alguien es dantesco, y estamos estudiando qué tipo de acciones (incluidas acciones legales) vamos a tomar”, adelanta a elDiario.es Diego Naranjo, jefe de políticas de esta organización, una federación de ONG de derechos digitales con sede en Bruselas.
Este tipo de suplantaciones se usaron para infectar los teléfonos Android. Para los dispositivos Apple, los atacantes utilizaron una vulnerabilidad denominada en ciberseguridad como zero-day, que significa que su existencia no era conocida por el fabricante ni por los usuarios. Esa vulnerabilidad “parece haber estado en uso durante los últimos meses de 2019, e implicaba un componente de iMessage”, explican los investigadores.
“El Citizen Lab ha informado a Apple sobre el exploit y les ha proporcionado los artefactos forenses pertinentes. En este momento, no tenemos pruebas que sugieran que los usuarios de dispositivos Apple con versiones actualizadas de iOS estén en riesgo”, añaden.
El esquivo Candiru
Antes de la explosión del escándalo sobre el uso de Pegasus contra los políticos catalanes —que ya fue revelado por elDiario.es y otros medios de comunicación en 2020— este software espía ya era considerado una de las principales armas de la industria del ciberespionaje. No obstante, el informe del Citizen Lab documenta el uso de otro malware llamado Candiru, que se caracteriza por ser aún más esquivo que el ya archiconocido Pegasus.
Candiru (nombrado así por el pez parásito del Amazonas que puede invadir la uretra humana) es casi imposible de detectar, a no ser que el programa esté activo en el momento en el que se realiza el análisis forense del dispositivo. “Los programas espía como Candiru están diseñados para autodestruirse y ocultar sus rastros”, refleja el Citizen Lab: “Tener el código real es esencial para entenderlo y neutralizarlo”.
La utilización de este software espía contra miembros de la sociedad civil fue detectada por primera vez en una víctima de la supuesta campaña de espionaje contra el entorno independentista catalán. Los investigadores pudieron ponerse en contacto con él y conseguir analizar su ordenador para obtener una copia del código del parásito. Descubrieron que estaba utilizando dos vulnerabilidades zero-day en Windows para infectar dispositivos, que Microsoft parcheó este verano. La compañía detectó que la misma versión de Candiru estaba actuando en otro centenar de dispositivos de personas localizadas en 10 países distintos.
El Citizen Lab ha detectado un total de siete intentos de infección con Candiru contra tres independentistas catalanes. Estos usaron ganchos tan sofisticados como los empleados por Pegasus, aunque en este caso fue vía email. Uno de ellos suplantó al Gobierno de España en una comunicación falsa que en enero de 2020 informaba a la víctima de que el coronavirus se había declarado como “una Emergencia de Salud Pública de Importancia Internacional”. El correo incluía un link que permitía a Candiru infectar el dispositivo.
Los atacantes también suplantaron al Registro Mercantil de Barcelona en otro email con un alto grado de personalización. En este caso el mensaje afirmaba que se había detectado el registro de una empresa en Panamá de nombre similar a la compañía de la víctima, lo que “un alto grado de conocimiento” de las actividades de esta, reflejan los investigadores.
“Control total” del dispositivo y escribir mensajes por él
Los programas de espionaje como Pegasus son capaces de hacerse con el “control total” del dispositivo infectado, explica a esta redacción Alfredo Reino, experto en ciberseguridad y profesor de la Universidad Rey Juan Carlos: “Existe la posibilidad de leer los emails, los mensajes SMS, de WhatsApp, de Telegram o de cualquier otra aplicación, se pueden escuchar las llamadas en curso, registrar lo que teclea el usuario, obtener pantallazos del teléfono con la aplicación que esté abierta en ese momento, acceder al historial del navegador, a la lista de contactos, a la geolocalización”.
“También se pueden tomar fotos sin el conocimiento del usuario y otra cosa también bastante utilizada, habilitar el micrófono del terminal para escuchar lo que hay alrededor”, añade el especialista.
Podría utilizarse para implantar pruebas e inculpar a un individuo de una manera que sería extremadamente difícil de refutar para la víctima
Candiru podría ir incluso un paso más allá de Pegasus, según el análisis de los especialistas de Microsoft que pudieron acceder a su código. Este “tenía una funcionalidad que permitía al operador utilizar directamente las cuentas en la nube de la víctima en su dispositivo infectado para enviar o publicar mensajes utilizando sus cuentas. Si bien puede utilizarse como parte de una infección, la misma funcionalidad podría utilizarse para implantar pruebas e inculpar a un individuo de una manera que sería extremadamente difícil de refutar para la víctima”.
El Gobierno dice que no puede dar explicaciones
La empresa que desarrolla Candiru, del mismo nombre, ha intentado mantenerse tan en la sombra como su software. Ha tenido más éxito en ese objetivo que NSO, la diseñadora de Pegasus. Las dos son empresas israelíes que aseguran que sus productos solo se venden a gobiernos y agencias de seguridad oficiales.
“NSO vende sus productos bajo licencia y regulación a organismos de inteligencia y policiales. Estas herramientas críticas se utilizan para prevenir el terrorismo y la delincuencia en virtud de órdenes judiciales y de las leyes locales de sus países. Las tecnologías de NSO Group han a sus clientes a salvar miles de vidas en los últimos años”, defiende la compañía en un comunicado enviado a este medio.
El Gobierno español afirma que no puede aclarar si los servicios de inteligencia usan Pegasus o Candiru “porque la ley lo prohíbe”, aunque recalca que “no se espía, no se intervienen conversaciones, no se intervienen informaciones si no es al amparo de la ley”, afirmó este martes la ministra portavoz, Isabel Rodríguez.
Según ha revelado El País, el CNI adquirió Pegasus por seis millones de euros para espiar en el extranjero. Este miércoles la ministra de Defensa, Margarita Robles, ha ofrecido reactivar una comisión congelada en el Congreso para dar explicaciones: “Es fácil imputarle al CNI unas ciertas actuaciones porque no se puede defender; ni decir una cosa ni la otra”, ha agregado.