Así trabaja la “industria de ciberespías” que acosa a activistas y periodistas

La industria del ciberespionaje asegura que solo actúa contra criminales y terroristas, pero no es cierto. Como han revelado investigadores forenses o los propios servicios digitales donde cazan a sus víctimas, sus ataques se dirigen a menudo contra activistas, periodistas, políticos o disidentes de regímenes autoritarios. Ha ocurrido durante años, pero no ha sido hasta hace muy poco cuando se han elevado las voces que denuncian que esta actividad es ilegal y debe parar.

La primera empresa que actuó fue Facebook. Lo hizo en 2019 a través de WhastApp, que llevó a los tribunales a NSO, una empresa israelí que se había dedicado a hackear la app de mensajería para espiar a sus objetivos. Apple hizo lo mismo este noviembre al comprobar que sus teléfonos, ordenadores y relojes también habían sido hackeados.

NSO es la empresa más conocida de esta industria. Su virus espía, Pegasus, se ha usado contra miembros de la sociedad civil de todo el mundo, como en los teléfonos de políticos independentistas catalanes. Pero “NSO es sólo una pieza de un ecosistema global de cibermercenarios mucho más amplio”, avisa Facebook, que esta semana ha publicado un informe que destapa las prácticas de la industria del espionaje digital y señala a varias empresas.

“Estas empresas forman parte de una industria en expansión que proporciona herramientas de hacking y servicios de vigilancia de forma indiscriminada a cualquier cliente, independientemente de contra quién las dirijan o de los abusos de los derechos humanos que puedan desencadenar”, destaca el informe, firmado por los tres principales responsables de la seguridad de la corporación de redes sociales.

Su selección de objetivos es realmente indiscriminada e incluye a periodistas, disidentes, críticos de regímenes autoritarios y activistas de derechos humanos

“Su selección de objetivos es realmente indiscriminada e incluye a periodistas, disidentes, críticos de regímenes autoritarios, familias de opositores y activistas de derechos humanos”, recalca Facebook. “Es más, el uso de estos servicios de hacking impide ver quién puede ser cada cliente final, qué se recoge y cómo se utiliza la información contra grupos vulnerables”.

Una de las siete compañías que Facebook señala es Black Cube, fundada en Israel pero con sede en España. Sus oficinas están en el distrito financiero de la capital, en la Torre Europa, frente al Paseo de la Castellana. Está formada por ex agentes del Mossad y se la ha relacionado con el acoso a las víctimas de Harvey Weinstein o el espionaje industrial contra la constructora ACS.

Facebook le acusa de crear 300 cuentas falsas para hackear a usuarios de sus redes, con identidades adaptadas para cada objetivo. Simulaban ser estudiantes, trabajadores de ONG, activistas proderechos humanos o productores de cine o televisión. Con ellas intentaban engañar a sus víctimas para averiguar su correo electrónico o teléfono, “probablemente para posteriores ataques de phishing”.

“Nuestra investigación descubrió una amplia gama de clientes, incluidos particulares, empresas y bufetes de abogados de todo el mundo”, avisa el informe. “La selección de objetivos por parte de Black Cube en nombre de sus clientes también estaba muy extendida geográficamente y en todos los ámbitos, incluidos los sectores médico, minero, de minerales y energético. También incluyó a ONG de África, Europa del Este y Sudamérica, así como a activistas palestinos”.

elDiario.es se ha puesto en contacto con Black Cube, que niega todo lo que le imputa Facebook. “Black Cube no lleva a cabo ninguna suplantación de identidad ni hacking y no opera en el mundo cibernético”, aseguran fuentes de la compañía. “Black Cube trabaja con los principales bufetes de abogados del mundo en la demostración de sobornos, el descubrimiento de la corrupción y la recuperación de cientos de millones en activos robados. Black Cube cuenta con asesoramiento jurídico en todas las jurisdicciones en las que operamos para garantizar que todas las actividades de nuestros agentes se ajustan plenamente a las leyes locales”, añaden.

Las otras empresas señaladas por la red social son Cobwebs Technologies (EEUU), Cognyte (Israel), Bluehawk CI (Israel), BellTroX (India), Cytrox (Macedonia del Norte) y una entidad que actuaba desde China que no ha logrado identificar. Entre todas han atacado a 50.000 personas de todo el mundo, según ha detectado Facebook.

Las tres fases de la “cadena de vigilancia”

Cada una de esas empresas se dedicaba a una, dos o las tres fases de lo que Facebook llama “cadena de vigilancia”, un círculo de actividades de espionaje para la selección y ataque de víctimas. Las denomina reconocimiento, contacto y explotación. “Cada fase informa a la siguiente y a menudo se repiten en ciclos”, informa. A las cuentas falsas de Black Cube las ha pillado actuando en las tres etapas.

La fase de reconocimiento es la primera que se pone en marcha y también la más difícil de detectar, explica el informe. Se desarrolla en silencio. Se utiliza software de recopilación de datos que peina Internet en busca de fuentes de información sobre el objetivo, ya sea en redes sociales, medios de comunicación o foros. También se usan cuentas falsas para revisar sus me gusta y listas de amigos. Las dos herramientas pueden ser usadas por los ciberespías o puestas a disposición de sus clientes, resume Facebook.

El objetivo de la fase de contacto es generar confianza en las víctimas a partir de los datos del reconocimiento. “Para ello, los mercenarios suelen recurrir a tácticas de ingeniería social y utilizan identidades ficticias para ponerse en contacto con esas personas a través del email, llamadas o mensajes directos en las redes sociales”, detalla el informe. Esos perfiles están creados al detalle para poder establecer una relación con el objetivo.

Cada fase informa a la siguiente y a menudo se repiten en ciclos

Los contactos pueden ser muy prologados. A menudo las agencias de ciberespionaje crean un rastro de actividad de esas identidades falsas en Internet, como perfiles en otras redes o publicaciones en blogs, para que puedan soportar un escrutinio por parte de la víctima. Todo para que cuando le lancen el gancho, intentando sonsacarle la información que buscan o que se descargue un virus espía, caiga.

Ahí empieza la fase de explotación. El hackeo puede perseguir hacerse con las contraseñas sensibles del objetivo, información financiera o directamente comprometer sus dispositivos con esos programas de vigilancia, que pueden estar diseñados por la propia empresa de espionaje o comprados a terceros. Pegasus, por ejemplo, puede llevar a cabo una vigilancia total del teléfono u ordenador en que se implante, accediendo a la ubicación, aplicaciones, fotos, vídeos, mensajes, sesiones abiertas en él, contactos o pulsaciones en las teclas del teclado. También permite activar a voluntad y de forma remota la cámara, el micrófono o el GPS.

Sin consecuencias

El informe de Facebook concluye recordando que “estos cibermercenarios rara vez se enfrentaron a las consecuencias cuando sus productos se utilizan para atacar a actores vulnerables como activistas, periodistas y grupos minoritarios, causando graves daños”. La corporación pide la colaboración de la industria digital y los gobiernos para cambiar esto.

Facebook, que se ha visto envuelta en múltiples escándalos por sus prácticas de privacidad y dejadez con las consecuencias tóxicas que el uso de sus redes tiene en los usuarios, solicita también que se elaboren “guías éticas” para las empresas de ciberespionaje. En este caso cabe destacar que organizaciones de la sociedad civil como la Electronic Frontier Foundation (EFF) o el Citizen Lab de la Universidad de Toronto, así como otros gigantes digitales como Microsoft o Apple coinciden con la empresa de Mark Zuckerberg.