Las fuerzas policiales de todo el mundo han utilizado cada vez más herramientas de piratería para identificar y rastrear a los manifestantes, exponer los secretos de los disidentes políticos y convertir las computadoras y los teléfonos de los activistas en ineludibles micrófonos ocultos. Ahora, nuevas pistas en un caso en India conectan a las fuerzas del orden público con una campaña de piratería que usó esas herramientas para ir un paso más allá: plantar archivos incriminatorios falsos en las computadoras de los objetivos que la misma policía usó como base para arrestarlos y encarcelarlos.
Hace más de un año, analistas forenses reveló que piratas informáticos no identificados fabricaron pruebas en las computadoras de al menos dos activistas arrestados en Pune, India, en 2018, quienes languidecen en la cárcel y, junto con otros 13, enfrentan cargos de terrorismo. Desde entonces, los investigadores de la firma de seguridad SentinelOne y las organizaciones sin fines de lucro Citizen Lab y Amnistía Internacional vincularon esa fabricación de evidencia con una operación de piratería informática más amplia que apuntó a cientos de personas durante casi una década, utilizando correos electrónicos de phishing para infectar computadoras específicas con spyware, así como herramientas de piratería de teléfonos inteligentes vendidas. por el contratista de piratería israelí NSO Group. Pero solo ahora los investigadores de SentinelOne han revelado los vínculos entre los piratas informáticos y una entidad gubernamental: nada menos que la misma agencia de policía india en la ciudad de Pune que arrestó a múltiples activistas en base a la evidencia fabricada.
“Hay una conexión comprobable entre las personas que arrestaron a estas personas y las personas que plantaron la evidencia”, dice Juan Andres Guerrero-Saade, investigador de seguridad en SentinelOne quien, junto con su colega investigador Tom Hegel, presentará los hallazgos en la conferencia de seguridad Black Hat. conferencia en agosto. “Esto está más allá de lo éticamente comprometido. Es más que insensible. Por lo tanto, estamos tratando de presentar la mayor cantidad de datos posible con la esperanza de ayudar a estas víctimas”.
Los nuevos hallazgos de SentinelOne que vinculan a la policía de la ciudad de Pune con la campaña de piratería de larga duración, que la compañía ha llamado Modified Elephant, se centran en dos objetivos particulares de la campaña: Rona Wilson y Varvara Rao. Ambos hombres son activistas y defensores de los derechos humanos que fueron encarcelados en 2018 como parte de un grupo llamado Bhima Koregaon 16, llamado así por la aldea donde estalló la violencia entre hindúes y dalits, el grupo alguna vez conocido como “intocables”, a principios de ese año. (Uno de esos 16 acusados, el sacerdote jesuita Stan Swamy, de 84 años, murió en la cárcel el año pasado después de contraer COVID-19. Rao, de 81 años y mal de salud, fue puesto en libertad bajo fianza médica, que vence el próximo mes. De los otros 14, solo a uno se le ha concedido la libertad bajo fianza.)
A principios del año pasado, Arsenal Consulting, una firma forense digital que trabaja en nombre de los acusados, analizó el contenido de la computadora portátil de Wilson, junto con la de otro acusado, el abogado de derechos humanos Surendra Gadling. Los analistas del Arsenal encontraron que la evidencia claramente había sido fabricada en ambas máquinas. En el caso de Wilson, una pieza de malware conocida como NetWire había agregado 32 archivos a una carpeta del disco duro de la computadora, incluida una carta en la que Wilson parecía estar conspirando con un grupo maoísta prohibido para asesinar al primer ministro indio Narendra Modi. La carta fue, de hecho, creada con una versión de Microsoft Word que Wilson nunca había usado y que ni siquiera había sido instalada en su computadora. Arsenal también descubrió que la computadora de Wilson había sido pirateada para instalar el malware NetWire después de que abrió un archivo adjunto enviado desde la cuenta de correo electrónico de Varvara Rao, que a su vez había sido comprometida por los mismos piratas informáticos. “Este es uno de los casos más serios de manipulación de pruebas que ha enfrentado el Arsenal”, escribió el presidente del Arsenal, Mark Spencer, en su informe a la corte india.