El ataque para infiltrarse en el teléfono del fundador de Amazon y propietario del Washington Post es una prueba más de la dificultad de evitar el espionaje digital. Así lo reveló el periódico británico The Guardian, citando a fuentes exclusivas tras una pericia informática llevada a cabo en el smartphone de Bezos.
Un informe forense sobre el hackeo al teléfono de Bezos, citado por los relatores especiales de la ONU en ejecuciones extrajudiciales, Agnes Callamard, y en libertad de opinión y expresión, David Kaye, señala que Arabia Saudí utilizó probablemente Pegasus, el malware más temido por activistas y periodistas que trabajan e informan sobre la situación de los derechos humanos en zonas calientes como Arabia Saudí o México.
El 21 de marzo de 2018, el príncipe heredero de Arabia Saudí, Mohamed bin Salmán, invitó a Jeff Bezos, dueño de Amazon y de The Washington Post, a una cena en Los Angeles. El encuentro se produjo el 4 de abril y Bezos y Salmán se intercambiaron los números de teléfono. Aquella misma noche Salmán escribió a Bezos. No tiene nada de raro que dos de las personas más poderosas del mundo se manden mensajes. Pero el príncipe saudí tenía un supuesto interés añadido con Bezos: The Washington Post publicaba los artículos del disidente saudí más famoso, Jamal Khashoggi.
Semanas después, el 1 de mayo, Bezos recibió un archivo de vídeo MP4 por WhatsApp desde el número del príncipe, según un informe encargado por el propio empresario. Eso no significa que el mensaje se enviara necesariamente desde el teléfono de Bin Salmán, ya que las cuentas de esta aplicación están vinculadas a un número, que puede suplantarse, y no a un aparato concreto. No se sabe si Bezos pinchó el vídeo que mostraba un fotograma con una bandera saudí y otra sueca y un texto superpuesto en árabe. Sí que, a las pocas horas, su iPhone X empezó a comportarse de forma extraña y a mandar datos a un ritmo miles de veces superior al habitual.
En principio, el fundador de Amazon no percibió nada extraño. De un móvil salen los correos y mensajes que envía el usuario y otros archivos hacia la nube. Pero entre ese tráfico pueden disimularse filtraciones indeseadas y, vinculado a aquel vídeo, había supuestamente algún tipo de código malicioso que gestionaba esas filtraciones. Los hackers habían logrado acceder a sus archivos y aplicaciones. Desde el móvil de Bezos salían diariamente unos 430 Kb diarios de datos, una media habitual para usuarios de ese móvil. Después de recibir el archivo, la salida de información aumentó hasta 126 megas (300 veces más) y se estableció en una media de 101 al día. El espionaje se mantuvo hasta febrero de 2019 y hubo jornadas en que la salida de datos llegó a 4,6 gigas (más de 10.000 veces más de lo normal).
Toda esta información procede del análisis forense del teléfono de Bezos y publicado en parte este miércoles por Naciones Unidas, que investigó el asesinato de Khashoggi, ocurrido en octubre de 2018 en el consulado saudí de Estambul. “Los resultados iniciales no identificaron la presencia de ningún código malicioso, pero sucesivos análisis revelaron que el vídeo sospechoso había sido enviado a través de un programa de descarga encriptado en un servidor de WhatsApp”, dice el informe completo, elaborado por un exagente del FBI y filtrado a medios [PDF]. Debido al cifrado de WhatsApp, el contenido de ese programa no ha podido ser establecido. Por tanto, la sospecha principal recae en ese software de descarga.
La sombra de empresas “célebres”
Las sospechas sobre el programa que presuntamente usó Arabia Saudí para hackear a Jeff Bezos apuntan a empresas famosas en este terreno como la israelí NSO o la italiana Hacking Time, fabricantes de este tipo de software. El informe apunta directamente a la figura de Saud al Qahtani, un estrecho colaborador de Bin Salman y que tenía tratos hace cuatro años con Hacking Team.
NSO es la creadora de Pegasus 3, una célebre herramienta de espionaje capaz de acceder a móviles sin ser detectada. En México, el Gobierno del anterior presidente, Enrique Peña Nieto, estuvo implicado en un caso de espionaje a activistas y periodistas con esta herramienta. Según una cronología publicada también por la ONU, Arabia Saudí adquirió el software de NSO en noviembre de 2017, en los días en que el Gobierno saudí detuvo en el Hotel Ritz de Riad a 30 figuras del régimen.
“El análisis forense concluye que la intrusión se llevó a cabo probablemente a través de un conocido producto de spyware identificado en otros casos saudíes de vigilancia, como malware Pegasus-3 de NSO Group, un producto que ha sido comprado y utilizado por las autoridades saudíes, según apuntan varías informaciones. Esto sería coherente con otras informaciones. Por ejemplo, el uso de WhatsApp como plataforma para permitir la instalación de Pegasus en los dispositivos está bien documentado y es objeto de una demanda de Facebook/WhatsApp contra NSO Group”, señala el informe forense.
El hackeo al teléfono del señor Bezos ocurrió en un periodo en el cual los teléfonos de dos personas cercanas a Jamal Khashoggi [asesinado por enviados saudíes en su consulado en Estambul], Yahya Assiri y Omar Abdulaziz, también fueron hackeados, supuestamente utilizando Pegasus, señalan los relatores de la ONU.
Bezos podría ser solo una víctima más. Varios amigos y confidentes de Khashoggi también sufrieron infiltraciones a través de WhatsApp o mensajes de texto. Facebook, empresa propietaria de WhatsApp, ha denunciado a NSO por usar su plataforma para mandar este software malicioso. Como detalle curioso, el grupo NSO usa los servidores de Amazon Web Services, propiedad de Bezos, para relacionarse con la herramienta para programadores de WhatsApp, desde donde coordinan presuntamente los envíos maliciosos.
Cuatro semanas después del asesinato de Khashoggi, el 8 noviembre de 2018, Bezos recibió una foto con un mensaje desde la cuenta del príncipe saudí, según el informe de la ONU. Era una imagen de una mujer que se parecía a su entonces amante, desconocida para el público, Lauren Sanchez. El texto del mensaje decía: “Discutir con una mujer es como leer un acuerdo de licencia de software. Al final tienes que ignorarlo todo y clicar ‘de acuerdo”.
En aquella época Bezos estaba negociando un acuerdo de divorcio con su hoy exmujer. La noticia del divorcio solo se supo meses después, en enero de 2019, avanzada por el National Enquirer. Bezos acusó al Enquirer de intento de extorsión por haberle amenazado con publicar fotos y mensajes sexuales.
Aquella foto era una posible amenaza velada a Jeff Bezos para presionarle y que su periódico dejara de investigar la muerte de Khashoggi. Un año después del asesinato, en lo que hoy parece un gesto evidente de desafío, Bezos acudió a Estambul a una ceremonia en recuerdo del periodista asesinado enfrente del consulado saudí.
Este tipo de ataques son personalizados. Nadie sin información muy valiosa debe en principio temer que su móvil sea atacado con estas herramientas sofisticadas. Cuando ocurre, sin embargo, de poco sirve emplear apps de mensajería encriptadas. El código malicioso está dentro del teléfono y ve lo mismo que el usuario, aunque un mensaje se autodestruya al cabo de 30 segundos. Los móviles habituales poco pueden hacer para evitar este tipo de intrusiones. Lo que sorprende es que haya afectado al hombre más rico del mundo, que además ha hecho su fortuna en el sector de la tecnología.
NSO y Pegasus
La empresa israelí NSO Group está vinculada con el desarrollo y la actualización de Pegasus, que permite leer en tiempo real lo que escribe su usuario, conectar el micrófono, rastrear su ubicación y ver qué archivos contiene. “Pegasus es el espía definitivo contra los smartphones: una vez llega al dispositivo permite leer en tiempo real qué está escribiendo su usuario, conectar el micrófono y oír las conversaciones, rastrear su ubicación o ver qué archivos contiene, como las fotografías”.
Poco se sabe sobre exactamente cómo funciona la tecnología de NSO Group. Fuentes familiarizadas con la compañía dijeron a Business Insider en agosto que los clientes pagan por usar Pegasus, en función de la cantidad de personas a las que quieren apuntar. El grupo ofrece una combinación de hardware y software para llevar a cabo hacks. El grupo NSO mostró un dispositivo de hacking en la conferencia de seguridad de Milipol 2019 en París:
Todo empezó en abril con la pantalla de un smarphone iluminada para mostrar una videollamada de WhatsApp, aparentemente como todas las demás. Pero no lo era: se trataba de un hackeo con el que el ciberatacante podía introducir código malicioso en el móvil de la víctima para espiarlo. No hacía falta ni siquiera que el usuario aceptara la llamada para lograr un acceso casi completo a casi todos los rincones de su dispositivo.
WhatsApp cerró el agujero de seguridad en mayo. Estuvo abierto tan solo dos semanas, pero según la app de mensajería, en ese período la brecha fue usada por ciberatacantes de todo el mundo para espiar los teléfonos de unos 1.400 diplomáticos, fiscales, periodistas y activistas. Tras meses de investigación, WhatsApp denunció el 29 de octubre que había descubierto quién había abierto el agujero. Señaló a una vieja conocida de la industria del espionaje: la empresa israelí NSO Group. Esta compañía, conocida también como Q Cyber Technologies, está vinculada con el desarrollo y actualización de Pegasus
En su denuncia, WhatsApp acusó a NSO de abrir el agujero de seguridad en sus videollamadas para que sus clientes, oficialmente Gobiernos y agencias de inteligencia, pudieran colar a Pegasus por él.
“A medida que reunimos la información que presentamos en nuestra demanda, descubrimos que los atacantes usaban servidores y servicios de alojamiento de Internet que anteriormente estaban asociados con NSO”, reveló Will Cathcart, director ejecutivo de WhatsApp. “Además, hemos vinculado ciertas cuentas de WhatsApp utilizadas durante los ataques a NSO. Si bien su ataque fue altamente sofisticado, sus intentos de cubrir sus huellas no fueron del todo exitosos”, añadió.
Pegasus fue descubierto por primera vez en 2016 en el teléfono de un activista de Emiratos Árabes Unidos, Ahmed Mansoor. Entonces los ciberatacantes intentaban colarlo en los dispositivos de sus vítimas de forma más rudimentaria, como a través de enlaces a la víctima enviados por SMS. Tras varios mensajes sospechosos que le invitaban a pinchar en los enlaces, Mansoor informó a Citizen Lab, laboratorio de la Universidad de Toronto especializado en investigar sistemas de cibervigilancia utilizados contra ciudadanos.
Dos años después, los investigadores de la Universidad Canadiense publicaron un extenso estudio sobre el rastro de Pegasus. Su investigación documentó el empleo de Pegasus en 45 países del mundo y su uso extensivo contra activistas, periodistas y otros miembros de la sociedad civil. Estaba muy presente en las redes de los países de América Latina y Oriente Medio, pero también se detectó en Europa. El estudio no localizó focos de infección en España, pero sí en Francia, Reino Unido, Polonia, Suiza, Países Bajos, Letonia y Turquía.
El mayor escándalo donde se ha hallado el rastro de Pegasus estalló en el verano 2017 en México. Numerosos periodistas, activistas e incluso prominentes académicos denunciaron haber sido infectados. “Este tipo de tecnología se está utilizando [por el Gobierno de México] en contra de ciudadanos que dan la batalla, periodistas, en contra de quienes pelean por los derechos humanos”, acusó en una entrevista con eldiario.es Pablo X. Gonzalez Laporte, fundador de “Mexicanos Contra la Corrupción y la Impunidad”.
En Panamá, la vigilancia ha tenido consecuencias legales en el peldaño más alto de la pirámide gubernamental. Ricardo Martinelli, expresidente del país de 2009 a 2014, tuvo que exiliarse a EEUU tras perder el poder para evitar ser arrestado cuando se destaparon sus practicas de espionaje digital. En junio de este año las autoridades estadounidenses lo detuvieron y lo extraditaron a Panamá, donde está siendo juzgado. Desvió presuntamente 13,4 millones de dólares para comprar Pegasus y vigilar a empresarios rivales y periodistas.
Citizen Lab colaboró con WhatsApp en la investigación del uso que se hizo del agujero de seguridad descubierto en mayo. Sus pistas también apuntan directamente a NSO. “Se ofrecieron como voluntarios para ayudarnos a comprender quién fue afectado por el ataque y se comprometieron con periodistas y defensores de derechos humanos para ayudarlos a protegerse mejor frente a estas amenazas”, refleja Cathcart.
Oficialmente, los software espía desarrollados por NSO, como Pegasus, solo se venden a Gobiernos y agencias de inteligencia para que combatan la delincuencia. No obstante, las pruebas recopiladas a lo largo de los años por Citizen Lab y otras organizaciones como Amnistía Internacional o la Electronic Frontier Foundation apuntan a que no siempre es así y su uso contra la sociedad civil está extendido.
Desde la denuncia de WhatsApp contra la empresa israelí, esta se esfuerza en defender que su trabajo ayuda a los Gobiernos a capturar a criminales y terroristas. “Los terroristas y los delincuentes usan las plataformas y aplicaciones sociales que todos usamos todos los días como vehículo para el terrorismo y la delincuencia”, ha afirmado recientemente su presidenta, Shiri Dolev. La privacidad de los activistas, periodistas o diplomáticos es una víctima colateral de esa seguridad.
Dolev, caracterizada por su actitud esquiva con la prensa y los actos públicos, apareció en un foro público para dar personalmente la versión de la compañía, que desde el principio negó las acusaciones de WhatsApp. “Desearíamos poder responder a lo que se publica sobre nosotros en los medios, pero no podemos revelar quiénes son nuestros clientes o lo que hacen”, dijo.
No solo WhatsApp, la NSO o espacios académicos como Citizen Lab han entrado en el debate. “Hay pocos ejemplos más claros del lado oscuro de la era digital que el de la industria de la vigilancia”, denunció el relator especial de la ONU para la libertad de expresión y opinión, David Kaye, en una tribuna publicada en The Guardian y eldiario.es. La presidenta de la NSO, por su parte, se queja del cifrado de extremo a extremo que asegura la privacidad de las conversaciones en las apps de mensajería como WhatsApp: “Hay información crítica que está oculta en aplicaciones seguras”.
Si los patrones marcaban una gran diferencia de datos fuera de lo normal, las políticas DLP lo podrían haber detectado.
Fuente: El Pais – SeguInfo – SC