fbpx

Crecen proveedores de inteligencia basados en programas espía

El pleno del Parlamento Europeo votó una investigación en curso sobre el uso ilícito de Pegasus de NSO y otros programas espía.


Cisco Talos ha visto como los atacantes llevan mucho tiempo utilizando productos comerciales desarrollados por empresas legítimas para comprometer los dispositivos objetivo. Estos productos se conocen como programas espía comerciales. Las operaciones de spyware comercial se dirigen principalmente a plataformas móviles con ataques de día cero o de un solo clic para distribuir spyware. Esta amenaza salió a la luz inicialmente con las filtraciones de HackingTeam en 2015, pero adquirió nueva notoriedad con la información pública sobre NSO Group y, en los años siguientes, el panorama ha explotado.

Ahora hay numerosas empresas con ofertas similares, como Intellexa, DSIRF, Variston IT y la recientemente revelada Quadream, que representan sólo un pequeño subconjunto.

El spyware comercial se ha hecho tan notorio que los gobiernos internacionales están tomando nota y actuando contra él, como demuestra la reciente Orden Ejecutiva de la administración Biden sobre éste. Un informe reciente del Centro Nacional de Ciberseguridad (NCSC) del Reino Unido destaca que la accesibilidad de estas herramientas “reduce la barrera de entrada a los actores estatales y no estatales para obtener capacidad e inteligencia”. Recientemente, en junio de 2023, el pleno del Parlamento Europeo votó una investigación en curso sobre el uso ilícito de Pegasus de NSO y otros programas espía de vigilancia equivalentes por parte de los Estados miembros de la UE (informe PEGA).

A las empresas comerciales de programas espía no les importa quién es el objetivo de sus productos

Las empresas comerciales de software espía anuncian sus productos simplemente como un medio para obtener acceso y niegan tener conocimiento de quiénes son los objetivos de sus clientes. Esta táctica es posiblemente un medio de negación plausible en el caso de que la selección ilegal de individuos se remonte a su software espía.

Para evitar repercusiones legales, estas empresas tienen sus sedes en países que no tienen leyes que regulen la exportación de sus productos o que clasifican a las entidades como proveedores de servicios informáticos, lo que las exime de cualquier responsabilidad por el producto. Estas empresas pueden, por tanto, vender a quien pueda pagar sin tener en cuenta quiénes son los objetivos previstos o cuáles pueden ser las repercusiones para las víctimas.

Aunque se anuncian como “herramientas” para las fuerzas de seguridad y las agencias gubernamentales destinadas estrictamente a un uso legal, un informe tras otro ha demostrado que el software espía comercial se ha utilizado sistemáticamente contra objetivos éticamente cuestionables que no encajan en el perfil de delincuentes o terroristas.

Dichos objetivos han sido repetidamente periodistas, políticos y activistas que el gobierno anfitrión percibe como competidores o amenazas existenciales. Aunque estas tecnologías puedan existir para luchar contra el terrorismo y el crimen organizado, su venta y uso deben estar regulados y sujetos al escrutinio de las autoridades judiciales a nivel internacional para evitar su uso indebido y abuso.

El futuro sin ataduras del software espía comercial

Los desarrolladores de plataformas móviles como Google y Apple han introducido y aplicado repetidamente protecciones y mitigaciones en sus sistemas operativos. Sin embargo, los proveedores de programas espía comerciales suelen utilizar ataques de día cero y sin hacer clic para comprometer los dispositivos móviles de las víctimas, y confían tanto en su capacidad para comprometer repetidamente los teléfonos sin ser descubiertos que, en algunos casos, ni siquiera despliegan mecanismos de persistencia: un simple reinicio del dispositivo es suficiente para eliminar el implante del dispositivo.

Sin embargo, un reinicio del dispositivo simplemente hace que el spyware comercial vuelva a infectar el dispositivo utilizando la combinación de día cero y clic cero que habían utilizado durante el ataque inicial, lo que indica la naturaleza agresiva de estas campañas.

No vemos indicios de que estas ofertas comerciales de programas espía estén disminuyendo. En todo caso, están creciendo junto con la disponibilidad constante de vulnerabilidades explotables, no parcheadas/desconocidas. Hasta que la comunidad internacional no actúe para regular la tecnología, muy poco va a cambiar.

Cuando los investigadores las ponen al descubierto, algunas de estas empresas simplemente dejan de existir. Pero en realidad no cierran, sino que cambian de nombre o se fusionan con otras que comparten la tecnología que han producido. Un ejemplo típico de este tipo de casos es la empresa comercial de programas espía Cytrox, que estuvo a punto de desaparecer, pero posteriormente fue “rescatada” y ahora forma parte del conglomerado Intellexa.

Organizaciones privadas y gubernamentales han tomado medidas para frenar legalmente el uso de programas espía comerciales, incluidos intentos de hacerles responsables de sus acciones en el pasado. Meta, antes Facebook, es una de las primeras en actuar contra las empresas comerciales de programas espía al iniciar un proceso contra NSO Group por utilizar WhatsApp, propiedad de Meta, en su cadena de infección.

El gobierno de Biden también ha dado un paso importante en la lucha contra estas empresas con la Orden Ejecutiva que pone limitaciones a la capacidad del gobierno de EE.UU. de utilizar programas espía comerciales para “desalentar el uso indebido de programas espía comerciales; y fomentar el desarrollo y la aplicación de normas responsables en relación con el uso de programas espía comerciales que sean coherentes con el respeto del Estado de Derecho, los derechos humanos y las normas y valores democráticos.”

Sin embargo, las limitadas medidas legales y legislativas aún no han tenido un efecto positivo inmediato para frenar el uso de programas espía comerciales.

Medidas de Cisco en el ámbito del software espía comercial

Cisco también ha tomado medidas para ayudar a limitar el impacto de los programas espía comerciales. En particular, Cisco, Microsoft y otras empresas tecnológicas se han unido en apoyo de la demanda de Meta contra NSO Group, a la que se ha hecho referencia anteriormente, mediante la presentación de escritos ante los tribunales.

Perfil de riesgo

Para casi todos los habitantes del planeta, las funciones de seguridad integradas en su teléfono Apple o Android son más que suficientes para mantenerlos protegidos. Sin embargo, la industria del software espía comercial ha demostrado que es fácil comprometer objetivos si se tiene acceso a estos productos y a los medios para utilizarlos. Hemos visto numerosos informes muy preocupantes sobre personas que se han visto comprometidas y normalmente se encuentran con la noticia de que se trataba de un periodista o un disidente. La capacidad de estas empresas para comprometer repetidamente los dispositivos, independientemente del nivel de parches, dificulta la protección.

Para aquellos que crean que están siendo o podrían ser objetivo de spyware comercial, reiniciar el dispositivo antes de contactar con una fuente o cambiar al modo de bloqueo podrían ser las únicas opciones en el futuro inmediato.

Si cree que ha sido blanco de un programa espía comercial, también hay hábitos más genéricos que deberían formar parte de su rutina diaria:

  • Reinicie el dispositivo con regularidad.
  • Utilice el modo de bloqueo si su dispositivo es un iPhone.
  • No haga clic en enlaces de fuentes dudosas.
  • No acepte mensajes privados de desconocidos.
  • Si tiene que mantener un contacto público, utilice un dispositivo vacío para recibir dichos contactos y reinícielo con frecuencia.
  • Mantenga tus dispositivos actualizados.

Si los lectores sospechan que su(s) sistema(s) puede(n) haber sido comprometido(s) por programas espía comerciales o grupos de piratas informáticos a sueldo, por favor consideren notificarlo al equipo de investigación de Talos en talos-mercenary-spyware-help@external.cisco.com para ayudar a aumentar el conocimiento de la comunidad sobre estas amenazas.

Publicaciones relacionadas

Botón volver arriba

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, click en el enlace para mayor información.

ACEPTAR
Aviso de cookies