Pegasus no está solo: Google descubre rastros de un nuevo programa espía creado en Italia que funciona en iPhone y en Android

La industria del espionaje informático no se limita ni a Pegasus ni a sus desarrolladores, la israelí NSO Group. Los investigadores en ciberseguridad de Google han hallado rastros de una de estas controvertidas herramientas en teléfonos iPhone y Android de ciudadanos kazajos, sirios e italianos. Este spyware lo desarrollaría, según la multinacional, una compañía italiana llamada RCS Labs.

El gigante del buscador no ha sido el único en identificar las trazas de este programa espía. La semana pasada, según incideWired, otra compañía de ciberseguridad llamada Lookout detectó rastros del mismo en terminales Android (los investigadores de Google han encontrado la presencia de esta herramienta en teléfonos iPhone).

Lookout bautizó la herramienta como Hermit, y también la atribuyó a RCS Labs. Esta empresa llegaba a deslizar que agentes italianos emplearon una versión de Hermit en 2019 durante una investigación sobre corrupción. Los terminales infectados por este Hermit, según Lookout y Google, son de ciudadanos en Italia, Kazajistán y el noreste de Siria.

Clement Lecigne, del equipo de Análisis de Amenazas de Google, incide en un artículo en el blog corporativo de la compañía que la empresa ha estado rastreando "la actividad de proveedores comerciales de programas espías durante años". "Es ahora cuando hemos visto que la industria ha dado el salto desde unos pequeños proveedores a un completo ecosistema".

La industria de los programas espías es más grande de lo que crees: las apps que usas diariamente y pueden ser tan peligrosas como Pegasus

¿Cómo se logró inocular Hermit en los teléfonos de sus víctimas? A través de una suplantación de una aplicación de Vodafone, que los ciberespías lograron distribuir en la App Store de iOS (Apple) gracias a que están registrados en el programa de desarrolladores de Apple gracias a una pequeña marca pantalla llamada 3-1 Mobile SRL. Apple detalla a Wired que esas licencias han sido revocadas.

Pero no queda ahí. Google también incide en cómo Hermit, este spywarede factura italiana, logró la colaboración de proveedores de internet locales para limitar las conexiones de datos de sus futuras víctimas. Cuando las mismas reclamaban que su conexión no estaba funcionando bien, recibían un SMS instándoles a descargarse una app para restaurar el servicio. Era una app falsa.

Una app que contenía ese programa espía.

Hermit, de RCS Labs, es, como todo programa espía que se precie, una herramienta sofisticada. Pero en este caso empleaba hasta seis vulnerabilidades, de las cuales cinco ya eran conocidas, para poder acceder a los teléfonos de sus víctimas. La sexta vulnerabilidad era desconocida hasta que fue descubierta en esta investigación: Apple la pudo reparar en diciembre del año pasado en iOS.

A pesar de esa vulnerabilidad que se estaba explotando 'en lo salvaje' (en esos términos define la comunidad de ciberseguridad a aquellos agujeros que todavía no han sido detectados por los expertos en seguridad), la herramienta no marca ningún peligroso precedente, más allá de cómo este tipo de spyware se aprovecha de las técnicas que descubren ciberdelincuentes día a día.

Mientras tanto, en España y en Europa el desafío de estas herramientas de ciberespionaje han impactado en la sociedad después de que se concatenaran durante las últimas semanas varios titulares, tras descubrirse que varios líderes independentistas catalanes fueron espiados con Pegasus y que el presidente del Gobierno, entre otros ministros, también fueron víctimas.