Cataluña fue de nuevo objetivo de una herramienta diseñada por ciberespías mercenarios, según Microsoft: esto es todo lo que se sabe de momento

Cataluña fue objetivo de una campaña de ciberespionaje perpetrada mediante una herramienta que el Centro de Inteligencia de Amenazas de Microsoft (MSTIC, por sus siglas en inglés) ha bautizado como SOURGUM.

Este ha sido el hallazgo que la propia tecnológica ha confirmado mediante un artículo publicado en su blog de seguridad. SOURGUM se aprovechaba de varias vulnerabilidades en Windows de día cero (aquellas que todavía no había sido detectadas ni reparadas, y que los ciberdelincuentes ya podían estar explotando).

SOURGUM sería "un agente ofensivo del sector privado", lo que en palabras de Microsoft es "empresas privadas que fabrican y venden armas cibernéticas en paquetes de hackeo bajo demanda". Estas compañías se suelen convertir en proveedores "generalmente de agencias gubernamentales en todo el mundo", advierte la multinacional estadounidense.

"Con estos paquetes de hackeo, las agencias gubernamentales eligen a sus objetivos y ejecutan sus operaciones de pirateo por sí mismas", recuerda la compañía, que también detalla cuáles han sido los principales objetivos alcanzados con SOURGUM, este "paquete de herramientas". Casi la mitad de las 100 víctimas son parte de las autoridades palestinas.

El resto son víctimas generalmente localizadas en Israel, Irán, Líbano, Yemen, Cataluña (España), Reino Unido, Turquía, Armenia y Singapur. Microsoft recuerda un matiz: "La identificación de víctimas de estas herramientas en un país no quiere decir que las agencias gubernamentales de dicho país sean usuarios de SOURGUM. Los objetivos internacionales son habituales".

Sin embargo, no es la primera vez que se habla de ciberataques orquestados contra ciudadanos en Cataluña, perpetrados además con herramientas de pirateo y ataque informático vendidas por este controvertido tipo de empresas.

Candiru, la empresa proveedora de programas espía

A mediados del año pasado una exclusiva conjunta de The Guardian y El País detalló cómo Roger Torrent, entre otros políticos catalanes independentistas, habían sido espiados mediante una de estas herramientas informáticas. El programa espía o spyware que se empleó entonces se conoce como Pegasus y lo ofrecía una compañía israelí llamada NSO Group.

Torrent, en aquel momento, era presidente del Parlament de Cataluña. Hoy es conseller de Trabajo y Empleo en la Generalitat.

Para registrar esta amenaza, Microsoft ha contado con la colaboración de Citizen Lab, un equipo de investigación de la Munk School de la Universidad de Toronto. El paquete de hackeo SOURGUM desplegaba malware en los dispositivos de sus víctimas. Microsoft ha bautizado los programas maliciosos desplegados como DevilsTongue (en español, "lengua del demonio").

Algunas de las capacidades que tenía DevilsTongue era la de recopilar datos en forma de cookies de sus objetivos, incluyendo el de la ubicación. También esbozó la posibilidad de descifrar y exponer conversaciones de Signal, una app de mensajería famosa precisamente por ser la más garantista con la privacidad de sus usuarios.

"El Centro de Inteligencia de Amenazas de Microsoft cree que SOURGUM era desarrollado por una empresa israelí". Citizen Lab de hecho da el nombre de la empresa responsable del "producto": Candiru. "Sale a la luz otro mercenario proveedor de programas espía", ilustraba el equipo de investigadores.

Candiru ya era conocida. Kaspersky, la firma de ciberseguridad rusa, detectó su actividad en el hackeo a ordenadores con Microsoft Windows o dispositivos con MacOS, sus 'especialidades'. "Uno de los clientes de Candiru es prácticamente Uzbekistán", destacaba uno de los investigadores de la compañía rusa en Forbes. También señaló a Arabia Saudí y a los Emiratos Árabes Unidos como clientes.

Precisamente otras firmas del sector de ciberataques son clientes de Candiru. TheMarker, un periódico israelí, destacó que muchas de sus soluciones se ofertan directamente en la dark web. 

"Si entras en el vestíbulo de su edificio en Tel Aviv, te darás cuenta de que el nombre de la empresa no figura en ningún lado. No encontrarás ninguna página web, porque no tienen. Sus 120 empleados no publican nada en LinkedIn, porque firman estrictos acuerdos de confidencialidad", recogía otro medio israelí, Haaretz, que recogía que el nombre de Candiru proviene del nombre que recibe un parásito típico de la Amazonia.

"Microsoft y Citizen Lab han trabajado juntos para desactivar este malware que puso la diana en más de 100 víctimas en todo el mundo, incluyendo a políticos, activistas en defensa de los derechos humanos, periodistas, académicos, trabajadores diplomáticos y disidentes políticos", detalla el artículo.

No se ha concretado quiénes son las víctimas

Aunque tras la exclusiva de The Guardian y El País se supo que Torrent fue uno de los afectados, esta vez no se sabe quiénes han podido ser los objetivos del software espía de Candiru. Tampoco quién lo habría ejecutado.

El año pasado The Guardian también hacía referencias a un parlamentario de Esquerra Republicana, Ernest Maragall, o a la exdiputada de la CUP, Anna Gabriel, como potenciales víctimas de Pegasus, el programa espía que habría desarrollado NSO Group.

Microsoft evita hilar a los autores del ataque ejecutado con el SOURGUM de Candiru con el Gobierno español. Es imposible determinarlo. Interior y Defensa rechazaron el año pasado haber usado Pegasus, pero Motherboard, el vertical de tecnología de Vice, publicó que España ya había sido cliente de NSO.

En palabras de un trabajador de NSO que hablaba bajo la condición de permanecer en el anonimato, España ya era cliente de la firma en 2015 y de hecho en la empresa israelí estaban muy contentos de proveer al país europeo con soluciones de ciberespionaje. "Al fin un país europeo", celebraban.

Torrent detectó el ataque en 2019. El entonces presidente del Parlament catalán comenzó a notar "cosas extrañas" en su móvil. "Se me borraban mensajes de WhatsApp y los historiales de conversaciones. A la gente de mi entorno no le pasaba", resume.

Precisamente el 13 de mayo de 2019 una información del Financial Times advertía que se estaban utilizando las llamadas de voz de WhatsApp para inocular en móviles un programa espía de origen israelí. La propia WhatsApp publicó una actualización para atajar el problema, y expertos de todo el globo aconsejaban en qué detalles fijarse para comprobar si habían sido víctimas de este ataque.

De hecho, Facebook, propietaria de WhatsApp, interpuso una demanda contra NSO Group.

Microsoft, Cisco y Google apoyan a Facebook en su pleito contra la firma que hackeó WhatsApp para instalar programas espías de gobiernos en cientos de móviles

Por la naturaleza de Pegasus, este hackeo masivo afectó a terminales móviles. Con SOURGUM, de Candiru, las infecciones podrían haberse producido sobre dispositivos con sistemas Windows, es decir, ordenadores de sobremesa o portátiles. Y es que esa es la principal diferencia: Candiru está especializada en hackear ordenadores.

Citizen Lab, a la caza de "mercenarios" digitales

A raíz del ataque de NSO Group sobre WhatsApp que acabó afectando a políticos independentistas catalanes, Business Insider España habló con uno de los investigadores principales del Citizen Lab de la Munk School de la Universidad de Toronto: John Scott-Railton.

Scott-Railton detalló entonces que detectaron la amenaza de Pegasus en 2016, de la misma manera que en julio de 2021 han anunciado la amenaza de SOURGUM. Reivindicaron el hito en su propia labor: "Nuestra misión es rastrear las amenazas digitales para la sociedad civil".

"El spyware Pegasus utiliza distintas técnicas para introducirse en los teléfonos", explicaba John Scott-Railton a Business Insider España. "En este caso, la técnica empleada se ejecutó entre abril y mayo de 2019 haciendo llamadas de vídeo con WhatsApp".

Los entresijos del mercado oscuro en el que se venden programas de ciberespionaje como el que se utilizó contra políticos catalanes: "Es como el tráfico de armas"

"El Citizen Lab es un grupo de investigación que lleva trabajando 20 años con el foco puesto en rastrear las amenazas digitales que se ciernen sobre la sociedad civil". "Nuestro trabajo se centra en investigar los riesgos contra políticos, periodistas, activistas, etc", detallaba Scott-Railton.

"Una de nuestras estrategias es trabajar muy de cerca con estos grupos" con estrategias ciberofensivas. "Por ejemplo, hemos invertido mucho tiempo trabajando con ataques originados del Gobierno chino cuyo objetivo eran activistas tibetanos".

"Otra estrategia en nuestro trabajo es rastrear el mercado y el abuso de las herramientas de espionaje comerciales". "Y esto incluye herramientas hechas en Alemania, Reino Unido, Israel, Italia y otros muchos países", abundaba el investigador.

"Hay un mercado global que se dedica a vender estas sofisticadas técnicas de hackeo a gobiernos. Nosotros nos centramos en entender qué ocurre cuando un gobierno adquiere estas tecnologías, y qué le sucede a la sociedad civil", exponía.

Este mercado es "secreto", pero "no es tan oculto como la dark web". "Se parece mucho al tráfico de armas, donde todo el mundo sabe quién las fabrica, y luego se utiliza un complejo entramado societario con empresas fantasmas para ocultar los actores reales de las transacciones".

Un mercado de armas cibernéticas

Eusebio Nieva es el director técnico de Check Point, una empresa de ciberseguridad israelí, para España y Portugal. Preguntado por Business Insider España hace unos meses sobre esta problemática, el especialista confirmó que cuando se habla de compañías que diseñan herramientas para ciberespionaje se está hablando de firmas que "se amparan en leyes locales cuando distribuyen sus productos".

"Es como la venta de armas", incidió". Y planteó una pregunta: "Desgraciadamente, son mercados muy similares. ¿La venta de armas está regulada?".

"Al final, este tipo de productos son armas cibernéticas. El que vende micrófonos capaces de hacer escuchas a 200 o 300 metros, ¿hace algo ilegal? Dependerá del uso que se le dé a esa tecnología", consideraba Nieva. "Si estas tecnologías se emplean bajo la supervisión de la Justicia en un país democrático, obviamente hay garantías legales".

El problema se da cuando "se exportan de manera indiscriminada" a países no democráticos. "Es lo mismo que cuando se exportan armas a una dictadura".

El propio Nieva profundizó en la distinción entre firmas que venden programas de espionaje y las empresas convencionales especializadas en ciberseguridad. Sus investigaciones: mientras que las empresas convencionales detectan vulnerabilidades y avisan para que se parcheen, las empresas de soluciones ciberofensivas detectan vulnerabilidades para sacarles un rendimiento económico.

"Es la diferencia entre una buena investigación y una investigación realizada en una zona gris... o incluso tras una línea roja".

"Por ejemplo, nosotros descubrimos vulnerabilidades superimportantes que podía ser aprovechadas para atacar a miles de clientes en todo el mundo". "El problema es que estos grupos que descubren determinadas vulnerabilidades se las quedan para aprovecharlas. Éticamente pueden estar haciendo lo mismo que los ciberdelincuentes que explotan esas brechas para sacar un beneficio económico".