Advierten sobre nuevo software espía dirigido contra periodistas y políticos

Los expertos en seguridad advirtieron sobre la aparición de un software espía desconocido hasta el momento, dotado de capacidades de hackeo comparables a las del programa Pegasus, de NSO Group, cuyos clientes ya han utilizado para atacar a periodistas, figuras de la oposición política y un empleado de una ONG.

Los investigadores del Citizen Lab en la Munk School de la Universidad de Toronto señalaron que el software espía, fabricado por una empresa israelí llamada QuaDream, infectó los teléfonos de algunas víctimas mediante el envío de una invitación de acceso al calendario de iCloud a los usuarios de celulares por parte de los operadores del software espía, que probablemente son clientes gubernamentales.

Las víctimas no recibieron notificación de las invitaciones de acceso al calendario porque fueron enviadas para eventos registrados en el pasado, lo cual las hizo invisibles para los objetivos del hackeo. Este tipo de ataques se conocen como “zero click” porque los usuarios del celular no tienen que hacer clic en ningún enlace malicioso ni realizar ninguna acción para infectarse.

Según el informe de Citizen Lab, QuaDream comercializa la herramienta de hackeo con el nombre de Reign. Los ataques informáticos que se descubrieron ocurrieron entre 2019 y 2021.

La investigación destaca que, aunque NSO Group, la empresa fabricante de una de las ciberarmas más sofisticadas del mundo, se enfrentó a un intenso escrutinio y fue incluida en la lista negra del gobierno de Biden, lo cual probablemente restringió su acceso a nuevos clientes, sigue proliferando la amenaza que suponen herramientas de hackeo similares y muy sofisticadas.

Como ocurre con el programa Pegasus de NSO Group, un teléfono infectado con Reign por un cliente de QuaDream puede grabar conversaciones que ocurran en las proximidades del teléfono controlando la grabadora de este, leer mensajes en aplicaciones cifradas, escuchar conversaciones telefónicas y rastrear la ubicación del usuario, según indicó Citizen Lab.

Los investigadores descubrieron que también se puede utilizar Reign para generar códigos de autenticación de dos factores en un iPhone para infiltrarse en la cuenta de iCloud de un usuario, permitiendo así al operador del software espía exfiltrar datos directamente desde la cuenta de iCloud del usuario.

Las nuevas revelaciones representan otro golpe para Apple, que ha promocionado sus funciones de seguridad como unas de las mejores del mundo. Ahora, Reign parece ser una nueva y potente amenaza para la integridad de los celulares de la compañía.

En un comunicado enviado a The Guardian, Apple señaló que estaba “progresando constantemente en la seguridad de iOS” y que no había indicios de que se hubiera utilizado el exploit de QuaDream desde 2021.

La empresa indicó que el desarrollo de ataques patrocinados por el Estado como los que se describen en el informe de Citizen Lab cuesta millones, tienen una vida útil corta y se utilizan para atacar a personas concretas “debido a quiénes son o a lo que hacen”.

“La gran mayoría de los usuarios de iPhone nunca serán víctimas de ciberataques altamente selectivos y trabajaremos incansablemente para proteger al pequeño número de usuarios que sí lo son”, señaló la empresa.

Citizen Lab no proporcionó los nombres de las personas que, según se descubrió, fueron objetivo de los clientes que utilizaron Reign. No obstante, señaló que más de cinco víctimas –descritas como periodistas, figuras de la oposición política y un empleado de una ONG– se hallaban en Norteamérica, Asia Central, el sudeste asiático, Europa y Medio Oriente. Citizen Lab también indicó que pudo detectar la ubicación de algunos operadores del software espía en Bulgaria, República Checa, Hungría, Ghana, Israel, México, Rumania, Singapur, Emiratos Árabes Unidos y Uzbekistán.

A diferencia de NSO Group, QuaDream tiene un perfil público relativamente bajo. El nombre de la empresa fue mencionado brevemente en un informe de seguridad publicado en diciembre de 2022 emitido por Meta, la empresa matriz de Facebook, en el que se describió a QuaDream como una empresa con sede en Israel fundada por exempleados de NSO.

En ese momento, Meta indicó que había eliminado 250 cuentas en Facebook e Instagram que estaban vinculadas a QuaDream y que creía que las cuentas eran utilizadas para verificar las capacidades del fabricante del software espía mediante el uso de cuentas falsas, incluida la exfiltración de datos como mensajes, imágenes y archivos de video y audio.

Citizen Lab señaló que identificó a personas clave relacionadas con QuaDream mediante una revisión de documentos corporativos y bases de datos, y que entre ellas figuraban un exfuncionario militar israelí y exempleados de NSO Group.

QuaDream no respondió la solicitud de comentarios enviada por correo electrónico a una persona que figura en los documentos corporativos como abogado de la empresa. La empresa no tiene página web ni otros datos de contacto. Citizen Lab tampoco recibió respuesta alguna de las preguntas que envió al abogado de la compañía.

El análisis de Citizen Lab se basó parcialmente en las muestras que Microsoft Threat Intelligence compartió con los investigadores.

En una publicación de blog publicada el martes, la empresa indicó que sus analistas evaluaron con “alto grado de confianza” que un grupo de amenazas que había rastreado estaba vinculado a QuaDream, y que estaba compartiendo información detallada sobre la amenaza con los clientes, los socios del sector y el público en general a fin de concientizar sobre la forma en que trabajan las empresas de software espía.