Pasar al contenido principal

Los entresijos del mercado oscuro en el que se venden programas de ciberespionaje como el que se utilizó contra políticos catalanes: "Es como el tráfico de armas"

Ciberseguridad.
Getty Images/Laurence Dutton

  • Varios partidos piden en el Congreso abrir una comisión para investigar el presunto ciberespionaje del que fueron víctima varios políticos catalanes.
  • Según una investigación de El País y The Guardian, el presidente del Parlament catalán, Roger Torrent, y varios políticos independentistas fueron objetivo de Pegasus, un programa espía desarrollado por NSO Group.
  • Esta compañía israelí es la marca más conocida de un mercado muy similar "al del tráfico de armas", según explican a Business Insider España varios expertos.
  • John Scott-Railton es investigador senior en el Citizen Lab, un equipo de la Munk School de la Universidad de Toronto que descubrió Pegasus en 2016: su trabajo es investigar "las amenazas digitales" como esta.
  • Eusebio Nieva, director técnico de Check Point para España y Portugal, también advierte a Business Insider España: estas empresas venden vulnerabilidades para sacarles un rendimiento económico.
  • Descubre más historias en Business Insider España.

La instalación de un programa espía en los móviles de varios líderes independentistas catalanes ha provocado una tormenta política. La última novedad: el Congreso de los Diputados debatirá crear una nueva comisión para investigar estos hechos.

Lo hará a instancias de una propuesta que puedes leer aquí y que han presentado hasta ocho grupos parlamentarios distintos: JxCat, la CUP, EH Bildu, PNV, Más País, Compromís y uno de los partidos que conforman el Gobierno, Unidas Podemos.

Estos hechos, que fueron revelados por el diario El País The Guardian, han vuelto a poner el foco sobre una empresa israelí, NSO Group. Esta compañía es la desarrolladora del programa espía que se empleó en esta ocasión, llamado Pegasus.

NSO Group mantiene un litigio en un juzgado federal en California, Estados Unidos, a cuenta de una demanda que interpuso Facebook contra ellos en octubre del año pasado. La firma de Mark Zuckerberg es propietaria de WhatsApp, popular plataforma de mensajería que se vio afectada por una brecha de ciberseguridad que aprovechó NSO para inocular su programa.

Esta brecha tuvo lugar entre mayo y abril del año pasado y fue descubierta por un colectivo de investigadores de ciberseguridad de la Munk School, un centro de investigación de asuntos globales y políticas públicas de la Universidad de Toronto (Canadá).

Business Insider ya ha abundado en otras ocasiones cómo es el prolífero negocio de las startups que venden herramientas para hackear móviles —con NSO Group a la cabeza—.

Ahora, John Scott-Railton, investigador senior de Citizen Lab (Laboratorio Ciudadano), el equipo de la Munk School, explica a Business Insider España cómo detectaron la amenaza de Pegasus en 2016 y por qué insisten en denunciar la oculta labor de NSO.

"Nuestra misión es rastrear las amenazas digitales para la sociedad civil", detalla.

NSO Group defiende que vende herramientas de hackeo solo a gobiernos

Una vez El País The Guardian descubrieron que Roger Torrent, presidente del Parlament de Cataluña, había sido una de las personas afectadas por el software espía Pegasus, NSO, la firma que lo desarrolla, recordó que su programa solo se vende a gobiernos e instituciones de estado.

Lo que buscan aclarar los grupos parlamentarios que piden una comisión de investigación en la Cámara Baja es saber si el Gobierno de Mariano Rajoy (2011-2018) tuvo algo que ver con este ciberespionaje.

Los ministerios de Interior y Defensa aclararon desde el primer momento que ellos no habían tenido acceso a esa herramienta, ni habían tenido nada que ver. Sin embargo, Motherboard reveló el mismo día que el CNI —los servicios secretos españoles— habían sido clientes de NSO, según un extrabajador de la compañía israelí.

El debate está ahora en encontrar al responsable de que Torrent y varios políticos independentistas, como la exparlamentaria de la CUP Anna Gabriel o el portavoz de ERC en Barcelona, Ernest Maragall, sufriesen espionaje en su móvil. 

Al parecer, Pegasus se inyectó en sus teléfonos móviles en la gran brecha de ciberseguridad que sufrió WhatsApp entre abril y mayo de 2019.

"El spyware Pegasus utiliza distintas técnicas para introducirse en los teléfonos", explica John Scott-Railton a Business Insider España. "En este caso, la técnica empleada se ejecutó entre abril y mayo de 2019 haciendo llamadas de vídeo con WhatsApp".

Leer más: Twitter revela que los ciberdelincuentes descargaron todos los datos de 8 perfiles diferentes durante su reciente hackeo masivo, lo que sugiere que los hackers buscaban algo más que bitcoins

En su momento, la propia plataforma reconocía a medios como el Financial Times que no era necesario que los usuarios descolgasen esa llamada de vídeo entrante. De hecho, en algunos casos los atacantes podían incluso eliminar la llamada entrante del historial de sus víctimas, de modo que sus objetivos no llegasen a sospechar nada.

"Esta es una de las múltiples formas en la que los móviles pueden ser hackeados y atacados. Y una de las muchas formas con las que la gente puede ser elegida como blanco de Pegasus".

Pero esta brecha también abrió "una ventana" para Citizen Lab, el equipo de investigadores de John Scott-Railton. "Una ventana" por la que estos investigadores pudieron seguir de cerca qué estaban haciendo "los clientes gubernamentales" de NSO con Pegasus.

Un mercado similar al tráfico de armas

Roger Torrent, president del Parlament de Catalunya.
Roger Torrent, presidente del Parlament de Cataluña. REUTERS/Albert Gea

"El Citizen Lab es un grupo de investigación que lleva trabajando 20 años con el foco puesto en rastrear las amenazas digitales que se ciernen sobre la sociedad civil". "Nuestro trabajo se centra en investigar los riesgos contra políticos, periodistas, activistas, etc", detalla Scott-Railton.

"Una de nuestras estrategias es trabajar muy de cerca con grupos" con estrategias ciberofensivas. "Por ejemplo, hemos invertido mucho tiempo trabajando con ataques originados del Gobierno chino cuyo objetivo eran activistas tibetanos".

"Otra estrategia en nuestro trabajo es rastrear el mercado y el abuso de las herramientas de espionaje comerciales". "Y esto incluye herramientas hechas en Alemania, Reino Unido, Israel, Italia y otros muchos países", abunda el investigador.

"Hay un mercado global que se dedica a vender estas sofisticadas técnicas de hackeo a gobiernos. Nosotros nos centramos en entender qué ocurre cuando un gobierno adquiere estas tecnologías, y qué le sucede a la sociedad civil", continúa.

Leer más: 7 proveedores de VPN que ofrecían navegación privada "sin registro", acusados de filtrar más de 1 TB de datos privados de sus usuarios en internet

En Citizen Lab consideran que la respuesta suele ser que estos instrumentos suelen servir para poner la diana en la sociedad civil. "Hay casi un principio de abuso: a no ser que estén supervisados de forma férrea, estos gobiernos caerán en un abuso, quizá político o quizá con otros fines".

Este mercado es "secreto", pero "no es tan oculto como la dark web". "Se parece mucho al tráfico de armas, donde todo el mundo sabe quién las fabrica, y luego se utiliza un complejo entramado societario con empresas fantasmas para ocultar los actores reales de las transacciones".

En los mismos términos se expresa Eusebio Nieva, director técnico de Check Point para España y Portugal y también consultado para este reportaje.

"Estamos hablando de compañías que se amparan en leyes locales cuando distribuyen sus productos. Es como la venta de armas", incide. "Desgraciadamente, son mercados muy similares. ¿La venta de armas está regulada?", se pregunta.

"Al final, este tipo de productos son armas cibernéticas. El que vende micrófonos capaces de hacer escuchas a 200 o 300 metros, ¿hace algo ilegal? Dependerá del uso que se le dé a esa tecnología", considera Nieva. "Si estas tecnologías se emplean bajo la supervisión de la Justicia en un país democrático, obviamente hay garantías legales".

En este sentido, el responsable de Check Point para España considera que el problema se da cuando "se exportan de manera indiscriminada" a países no democráticos. "Es lo mismo que cuando se exportan armas a una dictadura".

La diferencia entre una empresa de ciberseguridad y una firma de soluciones "ciberofensivas"

El propio Nieva hace una distinción entre firmas que venden programas de espionaje y las empresas convencionales especializadas en ciberseguridad. Sus investigaciones: mientras que las empresas convencionales detectan vulnerabilidades y avisan para que se parcheen, las empresas de soluciones ciberofensivas detectan vulnerabilidades para sacarles un rendimiento económico.

"Es la diferencia entre una buena investigación y una investigación realizada en una zona gris... o incluso tras una línea roja".

"Por ejemplo, nosotros hemos descubierto una vulnerabilidad super importante que podía ser aprovechada para atacar a miles de clientes en todo el mundo". Nieva se refiere al reciente descubrimiento de Check Point de una vulnerabilidad en el servidor DNS de Windows. "De las Fortune500, unas 20 empresas tenían esa vulnerabilidad".

Leer más: Las transferencias de datos personales entre la Unión Europea y EEUU, invalidadas al entender que las garantías allí son insuficientes, según el TJUE

Check Point reveló esa vulnerabilidad la semana pasada, dos meses después de que se la notificaran primero a Microsoft y siempre justo después de que la compañía liberara un parche que corregía esa brecha. "Hasta que ellos no lo han tenido [el parche], nosotros no lo hemos anunciado".

"El problema es que estos grupos que descubren determinadas vulnerabilidades se las quedan para aprovecharlas. Éticamente pueden estar haciendo lo mismo que los ciberdelincuentes que explotan esas brechas para sacar un beneficio económico".

En España sigue sin estar claro si el CNI o si alguna otra instancia del Estado estuvo detrás del ciberespionaje a los líderes independentistas catalanes. Lo que sí se supo hace ya 5 años es que el Centro Nacional de Inteligencia era cliente de otra firma de soluciones ciberofensivas, la italiana Hacking Team que, precisamente, fue hackeada.

Estas vulnerabilidades tienen un precio, y Nieva advierte: "Se está pagando un dineral por ellas".

Y además