Cómo se comprobó que periodistas y políticos eran espiados en México
¿Has recibido mensajes extraños? ¿Nos dejas verlos? Con estas preguntas básicas inició una buena parte de la documentación de los 15 casos de espionaje a activistas y periodistas mexicanos, que devino en un explosivo informe sobre el presunto mal uso de la tecnología israelí de la firma NSO Group para espiar a objetivos políticos en México.
Un grupo de abogados y especialistas en seguridad cibernética de varias organizaciones civiles, entre ellas R3D: Red en Defensa de los Derechos Digitales, Social TIC y Artículo 19, sostienen que han seguido en los últimos dos años los pasos de casa mensaje, de cada link adjunto que llegó a los celulares de periodistas, activistas críticos mexicanos que sospechaban que estaban siendo víctimas de espionaje.
El resultado de la investigación fue un informe que detalla cómo se recibieron los ataques usando los mismos métodos, mensajes y en muchos casos los mismos links alterados , entre ellos "univision.clik", una variante falsa del sitio web de Univision.
"El atacante busca infectar los teléfonos móviles del objetivo enviando un mensaje SMS donde se contiene un enlace’’, explicó a Univision Luis Fernando García, director de la Red y uno de los autores del informe. “En el momento en el que se da click a ese enlace se descarga el malware malicioso que permite tomar control del dispositivo y conocer todo sobre el dispositivo: las ubicaciones almacenadas en tiempo real, la localización, incluso activa el micrófono y la cámara".
¿Cómo lo han detectado?
El abogado explicó que el primer paso en la comprobación ha sido determinar si se trata de spam común o un ataque. Para lograrlo, desde el año pasado la Red comenzó a trabajar en colaboración con The Citizen Lab, un laboratorio interdisciplinario de la Universidad de Toronto, en Canadá, que documentó el primer caso de ataques a un activista usando la tecnología de NSO Group. El trabajo de The Citizen Lab obligó a Apple a colocar un parche de seguridad en sus dispositivos en 2016.
"Citizen Lab detectó una red de más de 200 nombres de dominio, asociados a servidores de NSO Group. Para documentar si un mensaje es parte de esa infraestructura que necesitamos contrastar ese link con la lista de dominios que ya están identificados", explicó García.
Cuando los links están acortados, deben seguir ciertos protocolos para que el investigador no resulte también infectado y pueda indagar a dónde redirige, cuál es el dominio final y si está asociado a la infraestructura de NSO. "Citizen Lab mapea Internet y tiene manera técnica de detectar los servidores de NSO y a partir de ahí detectar qué dominios redirigen a esos servidores".
Uno de los indicativos de que un link acortado puede estar dirigiendo a una página con el malware es que tenga un número bajo de clicks, lo que puede verificarse en páginas como bit.ly. "Si es un enlace que tiene muchos clicks, difícilmente sea un ataque focalizado", dijo el especialista.
Para lograr la efectividad del ataque, la firma israelí utiliza una "ingeniería social", esto es, que el contenido del mensaje tenga información que le interesa al objetivo y esto lleve a una respuesta emocional. "Buscan cómo engañarte, provocar que hagas algo que yo quiero que hagas, en este caso, que hagas click en tu teléfono a un enlace que te infecte con el malware de NSO".
De esta forma los activistas y periodistas mexicanos recibieron mensajes sobre supuestos adeudos, problemas con su visa o falsos amoríos de sus parejas. García explica que por el conocimiento que tienen sobre la forma de trabajo de NSO, la compañía suele proveer a sus clientes solo el link malicioso, pero no determina qué debe decir el mensaje para que el objetivo se sienta tentado a abrir el link.
Como el mensaje de anzuelo es preparado por alguien que conoce la vida del objetivo y no por NSO, la Red considera que esto revela otro aspecto preocupante del proceso, ya que debe existir un trabajo previo de inteligencia sobre el objetivo para que el mensaje sea tentador.
La punta del iceberg
El informe fue presentado simultáneamente este 19 de junio en versiones específicas por cada organización participante y en un amplio reportaje investigativo en el diario The New York Times. Detalla los casos, los mensajes recibidos y la comprobación hecha por el laboratorio canadiense, pero está limitado en el análisis sobre el remitente. "Justamente este malware tiene como característica, es su marketing, así se vende, como un malware que no puede ser detectado".
En México, The New York Times aseguró que NSO había ganado contratos por compra de licencias por valor de 80 millones de dólares con el gobierno. Hasta ahora, se ha documentado que al menos el Ejército mexicano, la Procuraduría General de la República y el Centro de Investigación y Seguridad Nacional han obtenido licencias del programa. Se calcula que cada infección costaría alrededor de 77 mil dólares.
Desde la Red, García y sus colegas libran ahora una dura batalla ante las instituciones de transparencia para obtener las copias de esos contratos. Ellos consideran que solamente el gobierno pudo haber usado estas herramientas para espiar a los objetivos.
"El malware de NSO únicamente se comercializa con gobiernos. Estamos viendo en los casos que hemos documentado personas de muy alto perfil, periodistas, defensores de derechos humanos, activistas anticorrupción, a los que el atacante que todo parece indicar que es el gobierno federal mexicano considera que vale la pena infectarlos, espiarlos porque están afectando los intereses del grupo político que controla el gobierno".
Los activistas aseguran que esto no es todo. "Creemos que esta infraestructura difícilmente fue utilizada únicamente contra 15 personas. Probablemente esta es la punta del iceberg de una operación mucho más sistemática".
Ver también:
