Investigadores de Citizen Lab dicen que han encontrado evidencia de que docenas de periodistas tenían sus iPhones comprometidos silenciosamente con software espía que se sabe que utilizan los estados nacionales.
Durante más que el año pasado, la reportera con sede en Londres Rania Dridi y al menos 36 periodistas, productores y ejecutivos que trabajan para la agencia de noticias Al Jazeera fueron blanco de un llamado ataque de “clic cero” que explotó una vulnerabilidad ahora corregida en De Apple iMessage. El ataque comprometió de manera invisible los dispositivos sin tener que engañar a las víctimas para que abrieran un enlace malicioso.
A principios de este año, se pidió a Citizen Lab, el perro guardián de Internet de la Universidad de Toronto, que investigara después de que una de las víctimas, el periodista de investigación de Al Jazeera Tamer Almisshal, sospechara que su teléfono podría haber sido pirateado.
En un informe técnico publicado el domingo y compartido con Heaven32, los investigadores dicen que creen que los iPhones de los periodistas estaban infectados con el software espía Pegasus, desarrollado por NSO Group, con sede en Israel.
Los investigadores analizaron el iPhone de Almisshal y descubrieron que se había conectado entre julio y agosto a servidores que NSO utilizaba para entregar el software espía Pegasus. El dispositivo reveló una ráfaga de actividad en la red que sugiere que el software espía pudo haberse entregado silenciosamente a través de iMessage.
Los registros del teléfono muestran que el software espía probablemente pudo grabar en secreto el micrófono y las llamadas telefónicas, tomar fotos con la cámara del teléfono, acceder a las contraseñas de la víctima y rastrear la ubicación del teléfono.
Citizen Lab analizó los registros de red de dos iPhones pirateados y descubrió que podía grabar llamadas ambientales, tomar fotos con la cámara y rastrear la ubicación del dispositivo sin que la víctima lo supiera. (Imagen: Citizen Lab)
Citizen Lab dijo que la mayor parte de los ataques probablemente fueron llevados a cabo por al menos cuatro clientes de NSO, incluidos los gobiernos de Arabia Saudita y los Emiratos Árabes Unidos, citando evidencia que encontró en ataques similares que involucraron a Pegasus.
Los investigadores encontraron evidencia de que otros dos clientes de NSO piratearon uno y tres teléfonos de Al Jazeera respectivamente, pero que no podían atribuir los ataques a un gobierno específico.
Un portavoz de Al Jazeera, que acaba de transmitir su informe sobre los ataques, no hizo comentarios de inmediato.
NSO vende a gobiernos y estados nacionales acceso a su software espía Pegasus como un servicio preempacado proporcionando la infraestructura y los exploits necesarios para lanzar el software espía contra los objetivos del cliente. Pero el fabricante de software espía se ha distanciado repetidamente de lo que hacen sus clientes y ha dicho que no sabe a quién se dirigen sus clientes. Algunos de los clientes conocidos de NSO incluyen regímenes autoritarios. Arabia Saudita supuestamente utilizó la tecnología de vigilancia para espiar las comunicaciones del columnista Jamal Khashoggi poco antes de su asesinato, que la inteligencia estadounidense concluyó fue probablemente ordenado por el gobernante de facto del reino, el príncipe heredero Mohammed bin Salman.
Citizen Lab dijo que también encontró evidencia de que Dridi, un periodista de la estación de televisión árabe Al Araby en Londres, había sido víctima de un ataque de cero clics. Los investigadores dijeron que Dridi probablemente fue un objetivo del gobierno de los EAU.
En una llamada telefónica, Dridi le dijo a Heaven32 que su teléfono pudo haber sido atacado debido a su estrecha asociación con una persona de interés para los Emiratos Árabes Unidos.
El teléfono de Dridi, un iPhone XS Max, fue atacado durante un período más largo, probablemente entre octubre de 2019 y julio de 2020.Los investigadores encontraron evidencia de que fue atacada en dos ocasiones distintas con un ataque de día cero, el nombre de un exploit que no ha se ha revelado previamente y que aún no hay un parche disponible, porque su teléfono estaba ejecutando la última versión de iOS en ambas ocasiones.
“Mi vida ya no es normal. No siento que vuelva a tener una vida privada ”, dijo Dridi. “Ser periodista no es un delito”, dijo.
Citizen Lab dijo que sus últimos hallazgos revelan una “tendencia acelerada de espionaje” contra periodistas y organizaciones de noticias, y que el uso creciente de exploits de cero clic hace que sea cada vez más difícil, aunque evidentemente no imposible, de detectar debido a las técnicas más sofisticadas utilizadas para infectar los dispositivos de las víctimas mientras cubren sus huellas.
Cuando se le contactó el sábado, NSO dijo que no podía comentar sobre las acusaciones porque no había visto el informe, pero se negó a decir cuando se le preguntó si Arabia Saudita o los Emiratos Árabes Unidos eran clientes o describieron qué procesos, si los hay, implementan para evitar que los clientes se dirijan a los periodistas.
“Esta es la primera vez que escuchamos de estas afirmaciones. Como hemos dicho en repetidas ocasiones, no tenemos acceso a ninguna información relacionada con las identidades de las personas sobre las que supuestamente se ha utilizado nuestro sistema para realizar la vigilancia. Sin embargo, cuando recibimos evidencia creíble de uso indebido, junto con los identificadores básicos de los supuestos objetivos y plazos, tomamos todas las medidas necesarias de acuerdo con nuestro procedimiento de investigación de uso indebido de productos para revisar las acusaciones ”, dijo un portavoz.
“No podemos comentar sobre un informe que aún no hemos visto. Sabemos que CitizenLab publica regularmente informes basados en suposiciones inexactas y sin un dominio total de los hechos, y es probable que este informe siga ese tema. NSO proporciona productos que permiten a las agencias gubernamentales encargadas de hacer cumplir la ley abordar el crimen organizado grave y la lucha contra el terrorismo únicamente, pero como se indicó en el pasado, no los operamos. No obstante, nos comprometemos a garantizar que se cumplan nuestras políticas, y cualquier evidencia de incumplimiento se tomará en serio e investigará “.
Citizen Lab dijo que apoyaba sus hallazgos.
Los portavoces de los gobiernos de Arabia Saudita y los Emiratos Árabes Unidos en Nueva York no respondieron a un correo electrónico solicitando comentarios.
Los ataques no solo ponen un enfoque renovado en el sombrío mundo del software espía de vigilancia, sino también en las empresas que tienen que defenderse de él. Apple basa gran parte de su imagen pública en abogando por la privacidad para sus usuarios y la construcción de dispositivos seguros, como iPhones, diseñados para protegerse contra la mayor parte de los ataques. Pero ninguna tecnología es impermeable a los errores de seguridad. En 2016, Reuters informó que la empresa de ciberseguridad DarkMatter con sede en los Emiratos Árabes Unidos compró un exploit de cero clics para apuntar a iMessage, al que se refirieron como “Karma”. El exploit funcionó incluso si el usuario no usaba activamente la aplicación de mensajería.
Apple le dijo a Heaven32 que no había verificado de forma independiente los hallazgos de Citizen Lab, pero que las vulnerabilidades utilizadas para atacar a los reporteros se corrigieron en iOS 14, lanzado en septiembre.
“En Apple, nuestros equipos trabajan incansablemente para fortalecer la seguridad de los datos y dispositivos de nuestros usuarios. iOS 14 es un gran avance en seguridad y entregó nuevas protecciones contra este tipo de ataques. El ataque descrito en la investigación fue altamente dirigido por estados-nación contra individuos específicos. Siempre instamos a los clientes a descargar la última versión del software para protegerse y proteger sus datos ”, dijo un portavoz de Apple.
NSO es actualmente envuelto en una batalla legal con Facebook, que el año pasado culpó al fabricante de software espía israelí por utilizar un software similar, exploit de clic cero no revelado en WhatsApp para infectar unos 1.400 dispositivos con el software espía Pegasus.
Facebook descubrió y reparó la vulnerabilidad, deteniendo el ataque en seco, pero dijo que más de 100 defensores de derechos humanos, periodistas y “otros miembros de la sociedad civil” habían sido víctimas.