Así se hace espionaje con software comprado por gobiernos

El 8 de julio de 2016, Alejandro Calvillo, director de El Poder del Consumidor, recibió un mensaje de texto (SMS) notificándole que el padre de un amigo acababa de fallecer. Adjunto a las palabras se encontraba un enlace. Dos días después, el 11 de julio, Calvillo recibió otro; esta vez el mensaje le alertaba sobre una supuesta aparición suya en el semanario “Proceso”.

Alejandro no fue el único en recibir estos mensajes. El mismo 11 de julio, el doctor Simón Barquera, investigador del Instituto Nacional de Salud Pública, recibió uno diciéndole que la Procuraduría General de la República había abierto una investigación a empleados de una clínica por negligencia y actos ilícitos. El 12 de julio, a Luis Encarnación, director de la coalición ContraPESO, también le llegó un mensaje similar.

Todos los SMS tenían una constante: incluían un enlace al final. Igualmente, todas las personas que los recibieron tenían algo en común: habían propuesto el impuesto a bebidas azucaradas en 2014 y, el 29 de junio de 2016 –una semana antes de la aparición de los mensajes–, habían dado una conferencia de prensa sobre lanzar una campaña para aumentar dicho gravamen y pedir rendición de cuentas sobre cómo se estaba usando el dinero recaudado.

Los mensajes se parecían mucho a unos identificados previamente por el Citizen Lab de la Universidad de Toronto como vectores de infección del malware Pegasus, comercializado por la firma NSO Group a los gobiernos del mundo, incluido el mexicano, para labores de espionaje. Algunos enlaces incluso presentaban un dominio vinculado con la infraestructura de dicho software malicioso. (Lea "Cómo los celulares se volvieron el blanco perfecto para las agencias de seguridad")

De haber hecho clic en los mensajes, un programa se habría instalado inadvertidamente en los teléfonos móviles de los objetivos, brindándoles acceso a los atacantes a todos los archivos guardados en el dispositivo, así como capacidades para utilizar la cámara, el micrófono, el GPS, entre otros.

Por ese motivo, en agosto de 2016, la Red en Defensa de los Derechos Digitales (R3D) y SocialTIC, a través de Access Now, contactaron al Citizen Lab y a Amnistía Internacional para informarles acerca de los mensajes recibidos por Barquera, Calvillo y Encarnación. La investigación dio como resultado el informe “Bitter Sweet: Supporters of Mexico’s Soda Tax Targeted With NSO Exploit Links”, en el que se detalla cómo el malware de NSO ha sido empleado para el espionaje de estos activistas.

¿Qué es Pegasus y cómo funciona?

El 24 de agosto de 2016, el Citizen Lab de la Universidad de Toronto lanzó el informe “The Million Dollar Dissident: NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defender”. En dicho documento, los investigadores detallan el funcionamiento de Pegasus y su uso en contra de Ahmed Mansoor, defensor de derechos humanos radicado en los Emiratos Árabes Unidos.

Mansoor había recibido mensajes de texto que supuestamente contenían “secretos” sobre los detenidos torturados en las cárceles de EE. UU. Dicha información podía ser consultada al hacer clic en un enlace. En lugar de acceder a la liga, Mansoor envió los mensajes de texto al Citizen Lab. Los investigadores reconocieron que los enlaces estaban relacionados con la infraestructura de NSO Group, una empresa de software de espionaje que comercializa Pegasus, un spyware de “intercepción legal” para gobiernos.

Los investigadores del Citizen Lab sospecharon que la infección se daba al hacer clic en el enlace enviado al objetivo, el cual dirigía hacia uno de los dominios de la infraestructura de NSO Group. Para comprobar esta hipótesis, los investigadores utilizaron un iPhone 5 nuevo con la misma versión de sistema operativo que el celular de Mansoor (iOS 9.3.3). Ingresaron manualmente la dirección URL proporcionada a Mansoor en el SMS en el navegador Safari. Al acceder el enlace apareció una página en blanco y, posteriormente, el navegador se cerró. Mientras tanto, descubrieron que un software desconocido fue implantado en el dispositivo.

El Citizen Lab descubrió que Pegasus explotaba una vulnerabilidad de seguridad inédita (zero-day exploit) en el sistema operativo iOS, bautizada como Trident. A través de esta infección se hacía jailbreak al dispositivo y se instalaba un sofisticado software que habría permitido al atacante tomar control de diferentes funciones y acceder a los contenidos del aparato. Entre sus funcionalidades se encuentran el acceso a archivos, datos del calendario, listas de contactos, contraseñas, mensajes de texto, así como información de otras aplicaciones como Gmail, Whatsapp, Skype, Facebook y Telegram. También permitía escuchar llamadas realizadas por teléfono, a través de Whatsapp o Viber y grabar activa o pasivamente utilizando el micrófono y la cámara del dispositivo.

Para que la persona blanco del ataque haga clic en el enlace, el atacante debe asegurarse de engañar al objetivo. En la infraestructura de NSO Group, los dominios que pertenecen a ésta buscan suplantar a otros sitios legítimos, como medios de comunicación, servicios de telecomunicaciones, redes sociales, portales de gobierno, organizaciones humanitarias, aerolíneas, entre otros.

Los investigadores del Citizen Lab hallaron que, dentro de los dominios identificados dentro de la infraestructura de NSO Group, la mayoría tienen conexiones en México y los Emiratos Árabes Unidos.

Dicho informe también citó el caso del periodista Rafael Cabrera, uno de los responsables de la investigación periodística de la Casa Blanca de Enrique Peña Nieto, quien recibió varios mensajes asociados con la infraestructura de NSO en agosto de 2015. El modus operandi, como se verá más adelante, es muy similar al de los casos de Barquera, Calvillo y Encarnación.

Los mensajes de texto

Entre el 8 de julio y el 17 de agosto de 2016 se reportaron 12 mensajes de texto enviados a los activistas.

Dichos mensajes, señala Citizen Lab, hacen uso de la ingeniería social para aumentar las posibilidades de que los objetivos sean engañados. De acuerdo con los investigadores, los mensajes “deben estar diseñados para aparentar ser urgentes, importantes, molestos o intrigantes para los objetivos”, de modo que sean suficientemente convincentes como para hacer clic en los enlaces.

Asimismo, los dominios de los enlaces incluidos en los SMS estaban vinculados a dos sitios relacionados con la infraestructura de NSO: smsmensaje[.]mx y unonoticias[.]net. Este último también fue mencionado en el reporte de Citizen Lab sobre Mansoor.

Finalmente, el Citizen Lab asocia este ataque con el gobierno mexicano por algunas razones simples: solamente un gobierno puede adquirir el malware de NSO Group, está documentado que el gobierno de México es cliente de esta firma y la misma infraestructura usada para espiar a los activistas pro impuesto al refresco fue usada en contra del periodista Rafael Cabrera (uno de los responsables de la investigación periodística detrás de la llamada Casa Blanca del presidente mexicano, Enrique Peña Nieto).

La vigilancia contra científicos y defensores de derechos humanos es inaceptable y es un agravio contra toda la sociedad. Resultaría particularmente insultante que la infraestructura estatal sea puesta al servicio de la industria para atacar a aquellos que desde el propio Estado y desde la sociedad civil trabajan en favor de la salud de los mexicanos.

Muestras de los mensajes recibidos

Mensaje para Alejandro Calvillo: Alejandro perdon pero acaba de fallecer mi padre, estamos mal, t envio los datos del velatorio, espero asistas: (y aquí viene el enlace malicioso).

Mensaje para el doctor Simón Barquera: eres un pendejo SIMON xq mientras trabajas yo me ando cogiendo a tu vieja y de prueba te mando esta foto (enlace malicioso)

Mensaje para el doctor Simón Barquera: Simon hoy aparece una nota en milenio donde te hacen acusaciones serias de corrupcion. checalas urge desmentir (enlace malicioso)

* Adaptación del texto original, que fue publicado con una licencia de Creative Commons Reconocimiento 4.0 Internacional.

El 8 de julio de 2016, Alejandro Calvillo, director de El Poder del Consumidor, recibió un mensaje de texto (SMS) notificándole que el padre de un amigo acababa de fallecer. Adjunto a las palabras se encontraba un enlace. Dos días después, el 11 de julio, Calvillo recibió otro; esta vez el mensaje le alertaba sobre una supuesta aparición suya en el semanario “Proceso”.

Alejandro no fue el único en recibir estos mensajes. El mismo 11 de julio, el doctor Simón Barquera, investigador del Instituto Nacional de Salud Pública, recibió uno diciéndole que la Procuraduría General de la República había abierto una investigación a empleados de una clínica por negligencia y actos ilícitos. El 12 de julio, a Luis Encarnación, director de la coalición ContraPESO, también le llegó un mensaje similar.

Todos los SMS tenían una constante: incluían un enlace al final. Igualmente, todas las personas que los recibieron tenían algo en común: habían propuesto el impuesto a bebidas azucaradas en 2014 y, el 29 de junio de 2016 –una semana antes de la aparición de los mensajes–, habían dado una conferencia de prensa sobre lanzar una campaña para aumentar dicho gravamen y pedir rendición de cuentas sobre cómo se estaba usando el dinero recaudado.

Los mensajes se parecían mucho a unos identificados previamente por el Citizen Lab de la Universidad de Toronto como vectores de infección del malware Pegasus, comercializado por la firma NSO Group a los gobiernos del mundo, incluido el mexicano, para labores de espionaje. Algunos enlaces incluso presentaban un dominio vinculado con la infraestructura de dicho software malicioso. (Lea "Cómo los celulares se volvieron el blanco perfecto para las agencias de seguridad")

De haber hecho clic en los mensajes, un programa se habría instalado inadvertidamente en los teléfonos móviles de los objetivos, brindándoles acceso a los atacantes a todos los archivos guardados en el dispositivo, así como capacidades para utilizar la cámara, el micrófono, el GPS, entre otros.

Por ese motivo, en agosto de 2016, la Red en Defensa de los Derechos Digitales (R3D) y SocialTIC, a través de Access Now, contactaron al Citizen Lab y a Amnistía Internacional para informarles acerca de los mensajes recibidos por Barquera, Calvillo y Encarnación. La investigación dio como resultado el informe “Bitter Sweet: Supporters of Mexico’s Soda Tax Targeted With NSO Exploit Links”, en el que se detalla cómo el malware de NSO ha sido empleado para el espionaje de estos activistas.

¿Qué es Pegasus y cómo funciona?

El 24 de agosto de 2016, el Citizen Lab de la Universidad de Toronto lanzó el informe “The Million Dollar Dissident: NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defender”. En dicho documento, los investigadores detallan el funcionamiento de Pegasus y su uso en contra de Ahmed Mansoor, defensor de derechos humanos radicado en los Emiratos Árabes Unidos.

Mansoor había recibido mensajes de texto que supuestamente contenían “secretos” sobre los detenidos torturados en las cárceles de EE. UU. Dicha información podía ser consultada al hacer clic en un enlace. En lugar de acceder a la liga, Mansoor envió los mensajes de texto al Citizen Lab. Los investigadores reconocieron que los enlaces estaban relacionados con la infraestructura de NSO Group, una empresa de software de espionaje que comercializa Pegasus, un spyware de “intercepción legal” para gobiernos.

Los investigadores del Citizen Lab sospecharon que la infección se daba al hacer clic en el enlace enviado al objetivo, el cual dirigía hacia uno de los dominios de la infraestructura de NSO Group. Para comprobar esta hipótesis, los investigadores utilizaron un iPhone 5 nuevo con la misma versión de sistema operativo que el celular de Mansoor (iOS 9.3.3). Ingresaron manualmente la dirección URL proporcionada a Mansoor en el SMS en el navegador Safari. Al acceder el enlace apareció una página en blanco y, posteriormente, el navegador se cerró. Mientras tanto, descubrieron que un software desconocido fue implantado en el dispositivo.

El Citizen Lab descubrió que Pegasus explotaba una vulnerabilidad de seguridad inédita (zero-day exploit) en el sistema operativo iOS, bautizada como Trident. A través de esta infección se hacía jailbreak al dispositivo y se instalaba un sofisticado software que habría permitido al atacante tomar control de diferentes funciones y acceder a los contenidos del aparato. Entre sus funcionalidades se encuentran el acceso a archivos, datos del calendario, listas de contactos, contraseñas, mensajes de texto, así como información de otras aplicaciones como Gmail, Whatsapp, Skype, Facebook y Telegram. También permitía escuchar llamadas realizadas por teléfono, a través de Whatsapp o Viber y grabar activa o pasivamente utilizando el micrófono y la cámara del dispositivo.

Para que la persona blanco del ataque haga clic en el enlace, el atacante debe asegurarse de engañar al objetivo. En la infraestructura de NSO Group, los dominios que pertenecen a ésta buscan suplantar a otros sitios legítimos, como medios de comunicación, servicios de telecomunicaciones, redes sociales, portales de gobierno, organizaciones humanitarias, aerolíneas, entre otros.

Los investigadores del Citizen Lab hallaron que, dentro de los dominios identificados dentro de la infraestructura de NSO Group, la mayoría tienen conexiones en México y los Emiratos Árabes Unidos.

Dicho informe también citó el caso del periodista Rafael Cabrera, uno de los responsables de la investigación periodística de la Casa Blanca de Enrique Peña Nieto, quien recibió varios mensajes asociados con la infraestructura de NSO en agosto de 2015. El modus operandi, como se verá más adelante, es muy similar al de los casos de Barquera, Calvillo y Encarnación.

Los mensajes de texto

Entre el 8 de julio y el 17 de agosto de 2016 se reportaron 12 mensajes de texto enviados a los activistas.

Dichos mensajes, señala Citizen Lab, hacen uso de la ingeniería social para aumentar las posibilidades de que los objetivos sean engañados. De acuerdo con los investigadores, los mensajes “deben estar diseñados para aparentar ser urgentes, importantes, molestos o intrigantes para los objetivos”, de modo que sean suficientemente convincentes como para hacer clic en los enlaces.

Asimismo, los dominios de los enlaces incluidos en los SMS estaban vinculados a dos sitios relacionados con la infraestructura de NSO: smsmensaje[.]mx y unonoticias[.]net. Este último también fue mencionado en el reporte de Citizen Lab sobre Mansoor.

Finalmente, el Citizen Lab asocia este ataque con el gobierno mexicano por algunas razones simples: solamente un gobierno puede adquirir el malware de NSO Group, está documentado que el gobierno de México es cliente de esta firma y la misma infraestructura usada para espiar a los activistas pro impuesto al refresco fue usada en contra del periodista Rafael Cabrera (uno de los responsables de la investigación periodística detrás de la llamada Casa Blanca del presidente mexicano, Enrique Peña Nieto).

La vigilancia contra científicos y defensores de derechos humanos es inaceptable y es un agravio contra toda la sociedad. Resultaría particularmente insultante que la infraestructura estatal sea puesta al servicio de la industria para atacar a aquellos que desde el propio Estado y desde la sociedad civil trabajan en favor de la salud de los mexicanos.

Muestras de los mensajes recibidos

Mensaje para Alejandro Calvillo: Alejandro perdon pero acaba de fallecer mi padre, estamos mal, t envio los datos del velatorio, espero asistas: (y aquí viene el enlace malicioso).

Mensaje para el doctor Simón Barquera: eres un pendejo SIMON xq mientras trabajas yo me ando cogiendo a tu vieja y de prueba te mando esta foto (enlace malicioso)

Mensaje para el doctor Simón Barquera: Simon hoy aparece una nota en milenio donde te hacen acusaciones serias de corrupcion. checalas urge desmentir (enlace malicioso)

* Adaptación del texto original, que fue publicado con una licencia de Creative Commons Reconocimiento 4.0 Internacional.