Una sola activista ayudó a cambiar la situación de NSO Group, una de las empresas de software espía más sofisticadas del mundo que ahora se enfrenta a una cascada de acciones legales y al escrutinio de Washington por las nuevas y perjudiciales acusaciones de que su software se utilizó para piratear a funcionarios gubernamentales y disidentes de todo el mundo.
Todo comenzó con un fallo de software en su iPhone.
Un error inusual en el software espía de NSO permitió a la activista saudí por los derechos de las mujeres Loujain al-Hathloul y a los investigadores de la privacidad descubrir un conjunto de pruebas que sugieren que el fabricante israelí de software espía había ayudado a hackear su iPhone, según seis personas implicadas en el incidente. Un misterioso archivo de imágenes falsas dentro de su teléfono, dejado por error por el programa espía, dio el aviso a los investigadores de seguridad.
El descubrimiento del teléfono de Al Hathloul el año pasado desencadenó una tormenta de acciones legales y gubernamentales que ha puesto a NSO a la defensiva. La forma en que se descubrió inicialmente el pirateo fue informada por Reuters el fin de semana por primera vez.
Más noticias
Al-Hathloul, una de las activistas más destacadas de Arabia Saudita, es conocida por haber ayudado a liderar una campaña para acabar con la prohibición de las mujeres conductoras en Arabia Saudita. Salió de la cárcel en febrero de 2021 acusada de atentar contra la seguridad nacional.
Poco después de su salida de la cárcel, la activista recibió un correo electrónico de Google en el que se le advertía de que piratas informáticos respaldados por el Estado habían intentado entrar en su cuenta de Gmail. Temiendo que su iPhone también hubiera sido hackeado, al-Hathloul se puso en contacto con el grupo canadiense de defensa de la privacidad Citizen Lab y les pidió que examinaran su dispositivo en busca de pruebas, según dijeron a Reuters tres personas cercanas a al-Hathloul.
Tras seis meses de indagar en los registros de su iPhone, el investigador de Citizen Lab, Bill Marczak, hizo lo que describió como un descubrimiento sin precedentes: un fallo en el software de vigilancia implantado en su teléfono había dejado una copia del archivo de imagen malicioso, en lugar de borrarse por sí mismo, tras robar los mensajes de su objetivo.
Dijo que el hallazgo, el código informático dejado por el ataque, proporcionaba pruebas directas de que NSO había construido la herramienta de espionaje.
“Fue un cambio de juego”, dijo Marczak. “Atrapamos algo que la empresa creía que era imposible de atrapar”.
El descubrimiento equivalía a un proyecto de piratería informática y llevó a Apple a notificar a miles de otras víctimas de piratería informática respaldadas por el Estado en todo el mundo, según cuatro personas con conocimiento directo del incidente.
El hallazgo de Citizen Lab y al-Hathloul sirvió de base para la demanda de Apple contra NSO en noviembre de 2021 y también repercutió en Washington, donde las autoridades estadounidenses se enteraron de que el ciberarma de NSO se utilizó para espiar a diplomáticos estadounidenses.
En los últimos años, la industria del software de espionaje ha experimentado un crecimiento explosivo a medida que los gobiernos de todo el mundo compran programas de pirateo telefónico que permiten el tipo de vigilancia digital que antes sólo era competencia de unas pocas agencias de inteligencia de élite.
En el último año, una serie de revelaciones de periodistas y activistas, incluida la colaboración periodística internacional Pegasus Project, ha vinculado a la industria del software espía con las violaciones de los derechos humanos, alimentando un mayor escrutinio de NSO y sus pares.
Pero los investigadores de seguridad afirman que el descubrimiento de al-Hathloul ha sido el primero en proporcionar un plano de una nueva y poderosa forma de ciberespionaje, una herramienta de hacking que penetra en los dispositivos sin ninguna interacción por parte del usuario, proporcionando la evidencia más concreta hasta la fecha del alcance del arma.
En un comunicado, un portavoz de NSO dijo que la empresa no opera las herramientas de hacking que vende: “lo hacen el gobierno, las fuerzas del orden y las agencias de inteligencia”. El portavoz no respondió a las preguntas sobre si su software se utilizó para atacar a Al Hathloul o a otros activistas.
Pero el portavoz dijo que las organizaciones que hacían esas afirmaciones eran “oponentes políticos de la ciberinteligencia”, y sugirió que algunas de las alegaciones eran “contractual y tecnológicamente imposibles”. El portavoz se negó a dar detalles, citando los acuerdos de confidencialidad con los clientes.
Sin entrar en detalles, la empresa dijo que tenía un procedimiento establecido para investigar el supuesto uso indebido de sus productos y que había cortado con clientes por cuestiones de derechos humanos.
Al-Hathloul tenía buenas razones para sospechar: no era la primera vez que la vigilaban.
Una investigación de Reuters de 2019 reveló que en 2017 fue objeto de un equipo de mercenarios estadounidenses que vigilaban a los disidentes en nombre de los Emiratos Árabes Unidos en el marco de un programa secreto llamado Proyecto Raven, que la catalogó como “amenaza para la seguridad nacional” y hackeó su iPhone.
Fue detenida y encarcelada en Arabia Saudita durante casi tres años, donde, según su familia, fue torturada e interrogada utilizando la información robada de su dispositivo. Al-Hathloul fue liberada en febrero de 2021 y actualmente tiene prohibido salir del país.
Reuters no tiene pruebas de que NSO estuviera implicada en ese anterior hackeo.
La experiencia de Al-Hathloul con la vigilancia y el encarcelamiento la hizo decidirse a reunir pruebas que pudieran utilizarse contra quienes manejan estas herramientas, dijo su hermana Lina al-Hathloul. “Ella siente que tiene la responsabilidad de continuar esta lucha porque sabe que puede cambiar las cosas”.
El tipo de spyware que Citizen Lab descubrió en el iPhone de al-Hathloul se conoce como “zero-click”, lo que significa que el usuario puede infectarse sin necesidad de hacer clic en un enlace malicioso.
El malware de clic cero suele borrarse tras infectar a un usuario, lo que deja a los investigadores y a las empresas tecnológicas sin una muestra del arma que estudiar. Según los investigadores de seguridad, esto puede hacer casi imposible la obtención de pruebas fehacientes de los hackeos del iPhone.
Pero esta vez fue diferente.
El fallo del software dejó una copia del programa espía oculta en el iPhone de al-Hathloul, lo que permitió a Marczak y a su equipo obtener un plano virtual del ataque y pruebas de quién lo había construido.
“Aquí teníamos el casquillo de la escena del crimen”, dijo.
Marczak y su equipo descubrieron que el programa espía funcionaba, en parte, enviando archivos de imagen a al-Hathloul a través de un mensaje de texto invisible.
Los archivos de imagen engañaban al iPhone para que diera acceso a toda su memoria, burlando la seguridad y permitiendo la instalación de un programa espía que robaría los mensajes del usuario.
El descubrimiento de Citizen Lab proporcionó pruebas sólidas de que la ciberarma fue construida por NSO, dijo Marczak, cuyo análisis fue confirmado por investigadores de Amnistía Internacional y Apple, según tres personas con conocimiento directo de la situación.
El programa espía hallado en el dispositivo de al-Hathloul contenía un código que mostraba que se comunicaba con servidores que Citizen Lab había identificado previamente como controlados por NSO, dijo Marczak. Citizen Lab llamó a este nuevo método de hackeo del iPhone “ForcedEntry”. Los investigadores proporcionaron entonces la muestra a Apple el pasado mes de septiembre.
Tener un plano del ataque en la mano permitió a Apple arreglar la vulnerabilidad crítica y les llevó a notificar a miles de otros usuarios de iPhone que fueron blanco del software NSO, advirtiéndoles que habían sido blanco de “atacantes patrocinados por el Estado”.
Era la primera vez que Apple daba este paso.
Si bien Apple determinó que la gran mayoría fueron blanco de la herramienta de NSO, los investigadores de seguridad también descubrieron que el software de espionaje de un segundo proveedor israelí, QuaDream, aprovechó la misma vulnerabilidad del iPhone, según informó Reuters a principios de este mes. QuaDream no ha respondido a las reiteradas peticiones de comentarios. Leer más
Las víctimas iban desde disidentes críticos con el gobierno de Tailandia hasta activistas de derechos humanos en El Salvador.
Citando los hallazgos obtenidos del teléfono de al-Hathloul, Apple demandó a NSO en noviembre en un tribunal federal alegando que el fabricante de software espía había violado las leyes estadounidenses al crear productos diseñados “para apuntar, atacar y dañar a los usuarios de Apple, a los productos de Apple y a Apple”. Apple atribuyó a Citizen Lab el suministro de la “información técnica” utilizada como prueba para la demanda, pero no reveló que se obtuvo originalmente del iPhone de al-Hathloul.
NSO dijo que sus herramientas han ayudado a las fuerzas del orden y han salvado “miles de vidas”. La empresa dijo que algunas de las acusaciones atribuidas al software de NSO no eran creíbles, pero se negó a dar más detalles sobre reclamaciones específicas citando acuerdos de confidencialidad con sus clientes.
Entre las personas a las que Apple advirtió se encuentran al menos nueve empleados del Departamento de Estado de EE. UU. en Uganda, a los que se les ha suministrado software de NSO, según personas familiarizadas con el asunto, lo que ha desencadenado una nueva oleada de críticas contra la empresa en Washington.
En noviembre, el Departamento de Comercio de EE. UU. incluyó a NSO en una lista negra comercial, restringiendo a las empresas estadounidenses la venta de productos de software de la empresa israelí, lo que supone una amenaza para su cadena de suministro.
El Departamento de Comercio dijo que la medida se basaba en pruebas de que el software espía de NSO se utilizaba para atacar a “periodistas, empresarios, activistas, académicos y trabajadores de embajadas”.
En diciembre, el senador demócrata Ron Wyden y otros 17 legisladores pidieron al Departamento del Tesoro que sancionara a NSO Group y a otras tres empresas de vigilancia extranjeras que, según ellos, ayudaron a gobiernos autoritarios a cometer abusos contra los derechos humanos.
“Cuando el público vio que se hackeaba a personalidades del gobierno estadounidense, eso movió claramente la aguja”, dijo Wyden a Reuters en una entrevista, refiriéndose a los ataques a funcionarios estadounidenses en Uganda.
Lina al-Hathloul, hermana de Loujain, dijo que los golpes financieros a NSO podrían ser lo único que puede disuadir a la industria del software espía. “Les ha dado donde más les duele”, dijo.