El Laboratorio sobre Seguridad de Amnistía Internacional ha denunciado una sofisticada campaña de hackeo de una empresa de software espía mercenario contra el sistema operativo Android de Google.
Los hallazgos técnicos fueron enviados al
Grupo de Análisis de Amenazas (TAG) de Google, dedicado a combatir los ciberataques respaldados por gobiernos. Como consecuencia, Google, junto con otros proveedores afectados —como Samsung—, pudo publicar actualizaciones de seguridad para proteger a miles de millones de personas usuarias de Android, Chrome y Linux de las técnicas basadas en vulnerabilidades empleadas en este ataque.
Amnistía Internacional ha preferido no desvelar el nombre de la empresa mientras el Laboratorio sobre Seguridad siga haciendo el seguimiento de su actividad e investigándola. Sin embargo, el ataque mostraba todas las características de una campaña de software espía avanzado desarrollado por una empresa comercial de cibervigilancia y vendido a hackers gubernamentales para llevar a cabo ataques selectivos.
“Las empresas de software espía sin escrúpulos representan un peligro real para la privacidad y la seguridad de todas las personas. Pedimos a la ciudadanía que se asegure de tener instaladas las actualizaciones de seguridad más recientes en sus dispositivos”, dijo Donncha Ó Cearbhaill, director del Laboratorio sobre Seguridad de Amnistía Internacional.
“Es vital que se solucionen estas vulnerabilidades, pero esto no es más que un parche para una crisis mundial de software espía. Necesitamos con urgencia una suspensión mundial de la venta, transferencia y empleo de programas espía mientras no se instauren unas salvaguardias sólidas de los derechos humanos; en caso contrario, se seguirán usando los ciberataques como herramienta de represión contra activistas y periodistas”.
El Laboratorio sobre Seguridad de Amnistía Internacional observa e investiga a empresas y gobiernos que multiplican y hacen un uso indebido de tecnologías de cibervigilancia que son una amenaza fundamental para personas defensoras de los derechos humanos, periodistas y la sociedad civil.
El lunes, el presidente estadounidense Biden tomó una medida significativa para abordar la crisis de programas espía al firmar una orden ejecutiva que limita el uso por el gobierno de tecnología de software espía comercial que represente una amenaza para los derechos humanos. Se trata de una iniciativa que transmite un mensaje enérgico a otros gobiernos para que adopten medidas similares.
Ataque de día cero
Los hallazgos del Laboratorio sobre Seguridad permitieron que Google, en diciembre de 2022, capturase una nueva cadena de
exploits de día cero usada para hackear dispositivos Android. Los
exploits de día cero son especialmente peligrosos porque permiten a los atacantes comprometer incluso teléfonos completamente parcheados y actualizados, pues el desarrollador todavía no conoce la vulnerabilidad.
La campaña de programas espía recién descubierta lleva activa desde al menos 2020, y ha afectado a dispositivos móviles y de sobremesa, así como a personas usuarias del sistema operativo Android de Google. Los
exploits de día cero y programas espía se enviaron desde una amplia red de más de mil dominios maliciosos, algunos de los cuales simulaban ser sitios web de medios de comunicación de múltiples países.
Amnistía Internacional ha
publicado detalles de los dominios y de la infraestructura que identificó como asociados al ataque para ayudar a la sociedad civil en la investigación de estos ataques y a responder a ellos.
El Grupo de Análisis de Amenazas de Google halló que personas usuarias de Android de Emiratos Árabes Unidos (EAU) fueron objeto de ataques con enlaces de una sola vez enviados por SMS que, si se pulsaban, instalarían el programa espía en su teléfono. En los últimos diez años, quienes defienden los derechos humanos en EAU son víctimas de programas espía de empresas de cibervigilancia como NSO Group y Hacking Team; uno de los afectados es
Ahmed Mansoor, que fue atacado con programas espía de las dos empresas y posteriormente encarcelado por las autoridades del país debido a su labor de derechos humanos.
El Laboratorio sobre Seguridad de Amnistía Internacional identificó actividad adicional relacionada con esta campaña de programas espía en Indonesia, Bielorrusia, EAU e Italia, países que probablemente representan sólo una pequeña parte de la campaña general de ataques, a tenor de la magnitud de toda la infraestructura atacante.
El Grupo de Análisis de Amenazas también pudo obtener la carga útil del programa espía en Android enviada durante esta campaña de ataques. La cadena de
exploits empleaba múltiples vulnerabilidades de día cero y otras parcheadas recientemente que podían comprometer un dispositivo Samsung Android totalmente parcheado. Estas vulnerabilidades incluyen un
exploit de día cero del procesador de Chrome, una vulnerabilidad de entorno de pruebas en Chrome y una vulnerabilidad de escalada de privilegios en un controlador del núcleo de una GPU Mali. Arm había parcheado con anterioridad la vulnerabilidad de la GPU Mali, pero la solución no estaba incluida en el
firmware más reciente de Samsung disponible en diciembre de 2022. La cadena de
exploits también aprovechaba una vulnerabilidad de día cero en el núcleo de Linux para obtener privilegios de
root (CVE-2023-0266) en el teléfono. La vulnerabilidad final también permitiría a los atacantes atacar sistemas integrados y de sobremesa Linux.
Amnistía Internacional sigue trabajando con una red creciente de entidades asociadas de la sociedad civil para detectar las excepcionales amenazas de la cibervigilancia que afrontan quienes defienden los derechos humanos y poder responder a ellas. Este apoyo continuo incluye compartir
indicadores de compromiso, metodologías forenses y el desarrollo de herramientas forenses como el
kit de herramientas de verificación móvil (MVT) que puede usar la sociedad civil para detectar amenazas selectivas de programas espía.
Numerosos abusos descubiertos por Amnistía Internacional y entidades asociadas de la sociedad civil en los últimos años han mostrado que la industria del software espía representa una amenaza crítica para quienes defienden los derechos humanos y la sociedad civil en todo el mundo. Los daños sistémicos de una cibervigilancia no regulada cada vez mayor se extienden mucho más allá del ya conocido programa espía Pegasus, desarrollado por NSO Group.
Como consecuencia del Proyecto Pegasus —que reveló que se había usado software espía contra periodistas, personas defensoras de los derechos humanos y figuras políticas de todo el mundo— existe la necesidad urgente de que se suspenda internacionalmente el desarrollo, el uso, la transferencia y la venta de tecnologías de programas espía hasta que haya un marco jurídico mundial destinado a prevenir estos abusos y proteger los derechos humanos en la era digital.