Dominios web con configuraciones deficientes, una de las vías de entrada que aprovecharon los responsables del ciberespionaje contra ciudadanos de Cataluña

Un grupo de investigadores de la Munk School de la Universidad de Toronto (Canadá) lleva años luchando contra los programas espías (spyware) que ofrecen compañías como la israelí NSO Group. Esta semana, este colectivo, conocido como Citizen Lab, ha revelado nuevos detalles sobre cómo una herramienta de esa empresa, Pegasus, afectó a docenas de ciudadanos en Cataluña.

Los hechos ya trascendieron en verano de 2020. El año pasado también se supo que Pegasus habría sido utilizado contra una lista de al menos 50.000 víctimas en todo el mundo. No ha sido hasta ahora cuando Citizen Lab ha desvelado cómo herramientas como Pegasus o Candiru afectaron a líderes políticos independentistas, activistas y otros ciudadanos en Cataluña.

La polémica se ha dado a conocer como CatalanGate y ha desatado toda una tormenta política. Uno de los socios del Gobierno central, Unidas Podemos, se ha sumado este miércoles a ERC, JuntsxCat, PDeCat, EH Bildu, la CUP, BNG, Más País, PNV y Compromís en una petición para abrir una comisión de investigación en el Congreso.

"Por lo que se apunta en las investigaciones publicadas, este software fabricado por la compañía israelí NSO permite la monitorización y extracción de datos de la mensajería instantánea, geolocalización, captura de pantalla, escucha de llamadas e incluso activación remota de cámara y micrófono", inciden los grupos en su petición, que continúa así:

"Teniendo en cuenta que NSO afirma que Pegasus solo se vende a fuerzas del orden y agencias de inteligencia, la responsabilidad sobre el espionaje apunta directamente al Gobierno español".

Por su parte, el Ejecutivo nacional ha rechazado cualquier relación con este asunto. Este martes, en la rueda de prensa posterior al Consejo de Ministros, la propia ministra portavoz, Isabel Rodríguez, tuvo que salir al paso de alguna pregunta sobre este tema. Anunció que la ministra de Defensa, Margarita Robles, ha pedido comparecer voluntariamente en el Congreso para dar explicaciones.

Ya en 2020, el Ministerio de Interior rechazó estar involucrado en esta trama de espionaje cibernético. Por su parte, NSO Group, proveedora de Pegasus, reivindica quesolo ofrece sus servicios a gobiernos y a agencias de inteligencia. Un extrabajador de la firma reconoció anónimamente en Motherboard que España era uno de los clientes de la plataforma.

Junto con Pegasus, los especialistas de Microsoft también advirtieron el año pasado la operativa de otro programa espía, este conocido como SOURGUM y provisto por otra compañía de ciberespionaje también de origen israelí, Candiru. En esa ocasión, el Gobierno español también rechazó cualquier implicación.

Esta misma semana el diario El País ha asegurado que el Centro Nacional de Inteligencia, los servicios secretos españoles, compraron una licencia para usar Pegasus en la primera década de los años 2000 por unos 6 millones de euros, aunque su uso estaría destinado a emplearse en el extranjero.

Cómo NSO y Candiru lograron infectar los móviles de ciudadanos catalanes

Pegasus, el spyware de NSO Group, comenzó a ser conocido después de que WhatsApp reconociera en 2019 ser víctima de un hackeo masivo mediante el cual la compañía israelí logró inocular esta herramienta en miles de dispositivos. En concreto, en 1.400, según recuerda en su informe sobre el CatalanGate el colectivo de expertos de Citizen Lab.

En la petición de una comisión de investigación que han presentado varios grupos políticos en el Congreso se hace un interesante ejercicio de síntesis. "Los hallazgos de Citizen Lab demuestran técnicamente la utilización de vectores de infección diversos, con utilización de sistemas de ocultación del malware y de infiltración de máxima sofisticación".

Esos sistemas de infiltración "de máxima sofisticación" incluye la irrupción en dispositivos mediante códigos de ejecución en remoto zero-click. Como su propio nombre indica, este malware se podía ejecutar sin que el usuario objetivo tuviese que interactuar con ningún enlace, ni descargar o abrir ningún archivo que recibiese por correo o por SMS.

Buena parte de esos ataques zero-click se ejecutaron en iOS (el sistema operativo de iPhone) gracias a una vulnerabilidad que no había sido descubierta hasta ahora y que en Citizen Lab han bautizado como Homage. "Parece haber sido aprovechada durante los últimos meses de 2019, e involucraba un componente zero-click en iMessage", destacan los especialistas en el informe.

Pero que la tecnología de NSO o Candiru sea muy sofisticada no quiere decir que algunos de los trucos con los que se instalaron estos programas espías en realidad se aprovechen de vulnerabilidades bien conocidas y fácilmente subsanables.

A vueltas con los protocolos DKIM, DMARC o SPF en dominios

Algunas de las fórmulas con las que se lograron inocular estos programas espías en los dispositivos de los ciudadanos catalanes que han acabado siendo víctimas en el CatalanGate incluyen el envío de mensajes de texto, la creación de portales web para ejecutar una elaborada campaña de phishing, o bien la suplantación de dominios web legítimos (una técnica conocida como spoofing).

"Uno de los objetivos, Pau Escrich, recibió un correo electrónico que suplantaba al Mobile World Congress (MWC) con un enlace a las entradas. Al pinchar en el enlace, su ordenador pudo haber sido infectado con el programa espía de Candiru", detalla la investigación.

También Elies Campo, un catalán que ha trabajado tanto en WhatsApp como en Telegram y que ahora es investigador para Citizen Lab, fue objetivo de esta campaña de ciberespionaje. Recibió "un mensaje muy conseguido que pretendía suplantar al Registro Mercantil de Barcelona".

"El correo contenía información veraz sobre una compañía que Campo administraba y pretendía ser un aviso de que una empresa con un nombre similar acababa de ser registrada en Panamá. Un mensaje como ese revela el sumo conocimiento que los espías tuvieron de las actividades de Campo", enfatiza.

El dominio suplantado para enviar ese mensaje a Elies Campo fue el de registromercantilbcn.es. Se trata de un dominio real que fue perfectamente suplantado, en buena medida, gracias a que no tiene una configuración estricta de unos protocolos de autenticación de correo electrónico. Estos protocolos, que actúan como filtros, son conocidos como SPF, DKIM o DMARC.

Los entresijos del mercado oscuro en el que se venden programas de ciberespionaje como el que se utilizó contra políticos catalanes: "Es como el tráfico de armas"

El dominio registromercantilbcn.es no cuenta con una configuración del protocolo DMARC, según ha podido saber Business Insider España. Marc Almeida es un hacker que en la comunidad es conocido como Cibernicola, y ya el año pasado compartió con este medio las conclusiones a las que llegó tras hacer un masivo y pormenorizado análisis sobre la configuración de 200 millones de dominios.

Almeida constató de esta manera, gracias a una investigación que bautizó como Domain Hunter DMARC Edition, que de esa muestra de 200 millones de dominios de toda la red, solo el 0,3% de los mismos había configurado de forma estricta los filtros o protocolos DKIM, SPF o DMARC.

En otras palabras: solo el 0,3% de los dominios que analizó en su extensa muestra presentaban al menos algunos obstáculos ante la posibilidad de que un tercero (ciberdelincuente o ciberespía) pueda spoofear o suplantar esos dominios.

Precisamente la investigación de Almeida se transformó en un artículo que firmaron él y la profesora de la Universidad de Granada Margarita Robles, titular de Derecho Internacional Público. En ese análisis se abundaba en el enfoque "técnico-jurídico" de estos filtros.

"Los protocolos de seguridad son estándares técnicos emanados de instituciones y organismos privados", abundaba entonces Robles, en referencia a las políticas DKIM o DMARC. "No son parámetros o normas obligatorias, ni tampoco cuentan con la legitimidad jurídica que implica que su autor corresponda a una autoridad pública".

En ese sentido, esa naturaleza "técnica y no jurídica" de los protocolos "constituye el primer obstáculo para su implementación", ya que no deja de ser voluntaria. "No se puede exigir, ni se puede imponer, ni se puede sancionar a quienes no aplican o incumplen los protocolos de seguridad".

En otras palabras: la falta de obligatoriedad a la hora de configurar adecuadamente protocolos de seguridad como los citados en los dominios web constituyen una de las primeras amenazas en la red. Una amenaza que los ciberatacantes de Candiru aprovecharon lo suficiente como para poder inocular sus programas espías a sus víctimas en todo el mundo.

También en Cataluña.

De hecho, la profesora Robles es la misma especialista que participó en una ponencia en el Parlamento Europeo a mediados del año pasado para elevar una siniestra advertencia: la Unión Europea es muy vulnerable, también jurídicamente, a campañas de ciberespionaje como las que se han conocido en los últimos meses gracias a Citizen Lab.

Por su parte, Citizen Lab, en su exhaustivo informe, no concluye quién está detrás del espionaje a ciudadanos catalanes. Pero sí evidencian que todas las sospechas apuntan a las autoridades españolas.