Los casos de espionaje contra activistas y periodistas a través de Pegasus, desarrollado por NSO Group, son un caso emblemático del abuso de tecnologías de vigilancia a través de software espía. Sin embargo, no son las únicas.

Así como existe Pegasus, existen otras herramientas tecnológicas y métodos utilizados en contra de periodistas, activistas o personas defensoras de derechos humanos alrededor de todo el mundo. De eso hablaremos en este texto, con el fin de comprender sus distintos alcances y crear consciencia sobre los peligros de las tecnologías de vigilancia.

Es necesario aclarar que algunas de las herramientas aquí mencionadas no necesariamente fueron desarrolladas para utilizarse como tecnología de vigilancia o espionaje, pero su uso mal intencionado puede derivar en esto.

Antes de continuar, si es la primera vez que lees al respecto, te recomendamos primero leer qué es una intervención de dispositivos y comunicaciones, y qué es malware, qué tipos hay y cómo protegerte.

Nota:

En este texto no se incluyeron herramientas o técnicas vinculadas a investigación de fuentes abiertas (OSINT), ataques en redes mediante Net Centers, trolls o bots, campañas de desprestigios o desinformación. Estas se abordarán en otro texto enfocado directamente a información en línea.

De la misma manera otras herramientas cómo videovigilancia o biométricos en algunos espacios, preferimos abordarlos en un texto dedicado solo a ello, por el momento, si te interesa el tema, puedes leer un poco más en el blog de R3D aquí y aquí.


 

Ver esta publicación en Instagram

 

Una publicación compartida por SocialTIC (@socialtic)

¿Qué tipos de tecnologías de vigilancia existen?

Para explicar las herramientas, primero debemos clasificarlas, aquí una clasificación sencilla y en la descripción abordamos qué empresas están detrás de ellas.

  1. Herramientas para extracción y recuperación de información
  2. Herramientas forenses
  3. Herramientas de intervención de comunicaciones.
  4. Software de espionaje

1. Herramientas para extracción y recuperación de información

Estas herramientas, como indica su nombre, están enfocadas a recuperar o extraer información de un dispositivo. Dependiendo del dispositivo o enfoque de la herramienta, se puede extraer información como:

  • Información para desbloquear la pantalla (contraseña, código, PIN o patrón)
  • Archivos como documentos, imágenes, audios y videos
  • Información de cuentas o inicios de sesión
  • Lista de contactos
  • Conversaciones en aplicaciones o servicios de mensajería
  • Información técnica del dispositivo como la versión y modelo, o el listado de aplicaciones o programas que tienen instalados
  • Información borrada de los puntos anteriores

Para que funcionen se requiere tener acceso físico al dispositivo del que se busca extraer o recuperar la información, pues es necesario conectar el dispositivo mediante un cable a otro equipo en donde se ejecutan dichas herramientas.

Dependiendo de la herramienta, puede tratarse de un software que se instala en un equipo de cómputo convencional, o puede que sea un equipo con características específicas diseñado por un fabricante para la ejecución del software.

Como vemos en la lista de información que extraen, la mayoría de los datos es información a nivel de usuario, esto es, lo que puede generar una persona mientras utiliza el dispositivo y sus herramientas, y que se puede vincular a su identidad. A continuación un par de ejemplos.

1.1 Dr.Fone y herramientas similares

Un ejemplo bastante común y relativamente accesible son las herramientas como Dr.Fone. Si bien Dr.Fone es la más conocida, existe una gama amplia de herramientas similares (incluso en nombres).

Fuente: https://drfone.wondershare.com/drfone-toolkit.html 

Dr.Fone se suele vender como herramienta de ayuda cuando un dispositivo presenta problemas, por lo que suelen contar con opciones para reparación y recuperación del sistema, así como las ya mencionadas de recuperación y extracción de información.

Fuente: https://drfone.wondershare.com/drfone-toolkit.html 

Aún así, podemos observar que cuenta con funciones que si son utilizadas de manera malintencionada pueden ser peligrosas.

1.2 UFED Touch y las famosas cajas negras

UFED es una de las familias de herramientas más conocidas y utilizadas por gobiernos y grupos del orden autorizados. Con familia nos referimos a que es una serie de productos desarrollados por una misma empresa, en este caso por la empresa Cellebrite.

Dentro de las opciones de UFED podemos encontrar una presentación de dispositivos especializados, o una presentación de software que se puede instalar en un equipo de cómputo.

Fuente: https://cellebrite.com/en/ufed/ 

La versión portátil se llama UFED Touch, y permite realizar extracciones en cualquier sitio. El equipo cuenta con las características necesarias para ejecutar el software de Cellebrite sin problemas. Este tipo de equipos es utilizado por grupos o cuerpos que realizan extracciones o recuperaciones en operativos o fuera de sus oficinas. El uso de esta herramienta requiere pagar por el equipo y por la licencia del software.

Fuente: https://cellebrite.com/en/ufed/ 

Mientras que la versión de software se llama UFED 4PC y se vende por licencia, la cual puede ser instalada en un equipo de cómputo que cumpla con los requisitos solicitados por el software. Esta versión generalmente se utiliza por grupos que pueden realizar sus actividades en un espacio fijo como una oficina, y donde pueden tener equipos con mayor potencia que la versión portátil.

Fuente: https://cellebrite.com/en/ufed/ 

Es habitual que este tipo de herramientas se utilicen en revisiones rápidas, como: detenciones policiales, militares o arbitrarias para la revisión de dispositivos, o en escenarios donde se requiere recuperar evidencia para una denuncia o el estudio de un caso.

2. Herramientas forenses

A diferencia de las herramientas anteriores, cuyo objetivo es automatizar y facilitar la extracción y recuperación de información, las herramientas forenses suelen especializarse en recuperar cierto tipo de información, generalmente operada por especialistas que buscan obtener información concreta. 

Las herramientas forenses usualmente están enfocadas a casos concretos en donde la información que se busca recuperar sufrió algún daño o modificación, o incluso fue eliminada. Al tratarse de análisis más minuciosos, en muchos casos no se puede automatizar, ya que la persona operadora requiere analizar manualmente secciones específicas de la memoria o disco del dispositivo, y para esto se apoya en estas herramientas.

Podemos pensar que las herramientas de extracción y recuperación son el equivalente a un allanamiento en donde se llevan todo lo que está a la vista, mientras que las herramientas forenses son el equivalente a una persona que inspecciona de forma especializada buscando pistas y rastros particulares para llegar a algo en concreto.

Similarmente las herramientas forenses tienen la capacidad de recuperar la misma información mencionada, con la diferencia de que esta recuperación requiere la intervención manual del especialista para volver a darle forma a la información. Y adicionalmente pueden extraer otros datos técnicos de componentes específicos del equipo, como información de la red, de los procesos o programas ejecutados, contraseñas o accesos a información cifrada, etc, y graficar esta información o su uso en líneas de tiempo.

Para utilizar estas herramientas también es necesario tener acceso físico al dispositivo en primera instancia, y conectarlo a la máquina donde se encuentra ejecutando la herramienta forense. Una vez hecho esto, es posible generar una imagen copia de todo el dispositivo que puede ser analizada de manera independiente después. Un par de ejemplos de estas herramientas son Forensic Toolkit (FTK) y Oxygen Forensics.

Estas herramientas se suelen utilizar para recuperar evidencia en investigación de denuncias o casos abiertos.

2.1 Forensic Toolkit (FTK)

Aquí algunas opciones que brinda FTK en su familia de herramientas.

Fuente: https://www.exterro.com/forensic-toolkit

2.2 Oxygen Forensics

Fuente: https://teeltech.com/mobile-device-forensic-tools/oxygen-forensic-detective/  

Fuente: https://teeltech.com/mobile-device-forensic-tools/oxygen-forensic-detective/ 

3.Herramientas de intervención de telecomunicaciones

Las herramientas de intervención de telecomunicaciones buscan obtener información que se encuentra viajando en las redes de telefonía, datos o Internet. Es así que estas herramientas funcionan sobre la infraestructura de telecomunicaciones como los cables, postes, antenas o módems, y no tienen efecto directo sobre los dispositivos, es decir, no pueden ver los archivos o información contenida en un equipo.

En algunos casos, nos podemos encontrar con equipos físicos que modifican la infraestructura de telecomunicaciones, o que simulan ser antenas o puntos de conexión falsos, suplantando las conexiones legítimas y analizando y capturando todo lo que pasa a través de esta conexión falsa. Un ejemplo habitual de este caso son los IMSI Catchers.

En otros casos podemos encontrar software especializado para vulnerar la infraestructura de telecomunicaciones u operar dentro de ella, buscando y capturando información de manera silenciosa o desapercibida. Ejemplo de esto puede ser la herramienta Circle o GeoMatrix

La información que se puede obtener mediante estas herramientas son:

  • Llamadas telefónicas
  • Mensajes de texto SMS
  • Geolocalización al triangular las antenas en donde se conecta el dispositivo
  • Datos técnicos de la tarjeta SIM y la línea telefónica, como es el número telefónico, la lada o el IMSI
  • Algunos datos técnicos del dispositivo, como fabricante, familia de dispositivos, o el IMEI
  • Si la red permite transmitir otros datos, como las redes de Internet, y estos no están cifrados, esta información puede ser obtenida

3.1 IMSI-Catchers

Los IMSI-Catchers son un tipo de dispositivo que simula antenas falsas, así, cuando un dispositivo decide conectarse a la red, este se enlaza a un punto de conexión falso, el cual puede monitorear toda la información que transita dentro de sí, la cual incluye lo mencionado en la lista de arriba.

Fuente: https://www.ericsson.com/48fbfe/assets/content/c723d10a0a8f47fe9b501e9ac214d7bc/protecting-5g-against-imsi-catchers-image-1.png

Los IMSI-Catcher más conocidos son los StingRay de la empresa Harris Corporation, esto debido a la popularidad en ventas y vínculos con policías estadounidenses en lo s90s y los 2000s que tuvo la empresa y el producto, adoptando incluso el nombre de StingRay como sinónimo de IMSI-Catcher en la cultura popular.

Fuente: https://nsarchive.gwu.edu/news/cyber-vault/2019-11-15/stingrays-imsi-catchers 

Actualmente, este tipo de dispositivos son más discretos y potentes, y la documentación que existe de ellos es poca y reservada del espacio público. Aún así, en la década pasada se realizaron varias documentaciones e investigaciones de estas herramientas, una que te podemos recomendar es la de arsTECHNICA en donde recopilaron en 2013 los productos de este tipo más utilizados y sus vínculos con agencias gubernamentales.

Hay que considerar que este tipo de tecnología puede ser móvil, esto es, utilizarse dentro de un vehículo que permite su transportación para el seguimiento del objetivo, o estar anclados a la infraestructura ya existente, por ejemplo, en una antena de telefonía móvil.

Fuente: https://r3d.mx/2020/06/03/las-golondrinasenelalambre-del-gobierno-federal-torres-falsas-de-telefonia-para-recolectar-informacion-de-personas/

Hay documentación sobre cómo este tipo de herramientas se utilizan para el monitoreo y perfilamiento de personas previo a otro tipo de ataques, o de acciones de investigación previo a detenciones, o en movilizaciones como marchas o protestas para identificar a las personas asistentes.

3.4 Circle y GeoMatrix

Estas dos herramientas hacen referencia a tecnología de intervención y monitoreo de redes de telecomunicaciones de manera masiva. A diferencia de los IMSI-Catchers, estas se instalan en centros de operación de cómputo para atacar o vulnerar la infraestructura de telecomunicaciones, logrando tener acceso a esta y monitorear lo que sucede dentro de ella. En algunos casos, esto se hace en colaboración con el proveedor del servicio.

En el caso de Circle, se ha documentado que esta herramienta pertenece a NSO Group, la misma empresa que desarrolló el software espía de Pegasus. Circle se utiliza para atacar la infraestructura de telecomunicaciones vulnerando el protocolo de comunicación SS7, el cual básicamente es el protocolo de comunicación estándar de estas infraestructuras y que permite que las distintas redes de proveedores puedan interactuar entre sí.

Fuente: https://citizenlab.ca/2020/12/running-in-circles-uncovering-the-clients-of-cyberespionage-firm-circles/

Al instalarse Circle en un centro de operaciones, cuenta con herramientas de seguimiento y visualización histórica y en tiempo real, permitiendo realizar seguimientos precisos de grupos o individuos.

Fuente: https://citizenlab.ca/2020/12/running-in-circles-uncovering-the-clients-of-cyberespionage-firm-circles/

GeoMatrix es otra herramienta similar a Circle, de la cual no se tiene documentación pública (al momento), pero se sabe que su objetivo y funcionamiento es similar, realizar seguimiento en tiempo real de personas o grupos a través de las redes de telecomunicaciones. Esta herramienta es desarrollada por M.T.R.X. quien a su vez es subsidiaria de Rayzone Group.

También se ha documentado su uso para realizar perfilamiento, monitoreo y espionaje tanto masivo como de individuos y grupos específicos de manera remota.

4. Software de espionaje

El software de espionaje suele ser de las opciones más sofisticadas e intrusivas. Dependiendo de las capacidades, puede tener acceso a cierta información en un dispositivo, como archivos, fotos, videos, audios, contenido de aplicaciones como mensajes, o incluso a información de la cámara, del micrófono o del GPS. En otros casos, puede acceder a toda la información del dispositivo.

Para infectar un dispositivo con este tipo de tecnología, se suele requerir tener acceso físico al dispositivo, utilizar técnicas como el phishing, o abusar de vulnerabilidades de tipo 0-day (problemas de seguridad en otra tecnología y que no son conocidos públicamente).

Dentro de esta categoría podemos mencionar dos subgrupos, los stalkerware como Cerberus y mSpy, y los software de espionaje más sofisticados como Pegasus.

4.1 Stalkerware como Cerberus y mSpy

Un stalkerware es un software espía utilizado en pequeña escala, principalmente en círculos íntimos como son los de pareja, familia o amistades. 

En lo habitual, se instalan al tener acceso físico al dispositivo, y buscaban recabar toda la información posible. El atacante puede tener acceso a un panel de control en donde visualiza toda la información.

Este tipo de herramientas suelen venderse como opciones de protección familiar para evitar el uso malintencionado del dispositivo o prevenir el robo de los mismos, sin embargo, sus funciones y capacidades permiten utilizarlas como herramientas de monitoreo y espionaje casero.

Las dos más famosas son las mencionadas, Cerberus y mSpy, pero existe una amplia variedad de opciones disponibles. La mayoría suelen requerir el pago de una suscripción o licencia para utilizarse.

Fuente: https://www.cerberusapp.com/

Fuente: https://www.mspy.com/

4.2 Pegasus y otros software espía parecidos

En la ronda final por fin aparecen los software espía más sofisticados. Estos como ya dijimos tienen una capacidad de intrusión sumamente alta, teniendo acceso a casi toda la información del dispositivo.

Fuente: https://citizenlab.ca/wp-content/webpc-passthru.php?src=https://citizenlab.ca/wp-content/uploads/2016/08/image10.png

Estos son los que utilizan las vulnerabilidades de tipo 0-day, aprovechando problemas en otras herramientas para infiltrarse en los dispositivos, esto puede ser a través de phishing, o en casos recientes, incluso sin ninguna interacción por parte del usuario.

Si bien Pegasus es el más conocido, antes de él hubo otros igual de potentes para su época como fueron FinFisher de la empresa Gamma Group, o Galileo y DaVinci de la empresa HackingTeam. En su momento, hubo personas que fueron afectadas y vulneradas con las tres herramientas.

Fuente: https://citizenlab.ca/wp-content/webpc-passthru.php?src=https://citizenlab.ca/wp-content/uploads/2016/08/Mansoor-LI-Targeting-2.png

Estas herramientas al igual que Pegasus, tienen un costo económico alto, y requieren la creación de centros de operación con personal capacitado para el uso y manejo de las herramientas y los centros. Con esto se logra tener una capacidad alta de espionaje en tiempo real de las personas o grupos objetivos.

A través de filtraciones de datos y hackeos que han sufrido estas empresas es que se ha logrado conocer las características, capacidades, vínculos con gobiernos y objetivos de espionaje vinculados a ellas.

Actualmente han ido surgiendo otros softwares de espionaje (además de los ya mencionados) como son Predator de Cytrox, Candiru (2) o CloudMensis, con los cuales se puede notar que el mercado de espionaje está en crecimiento, sofisticación y diversificación. Y como ha pasado en otros momentos, este tipo de herramientas se utilizan de manera simultánea contra los mismos actores.

¿Qué hacer para protegerse de herramientas de vigilancia?

Dada la diversidad de herramientas, puede parecer complicado protegerse, sin embargo, hay medidas básicas que se pueden tomar para incrementar la seguridad y ganar tiempo al enfrentarnos a estas amenazas. Algunas de esta son:

  • Utilizar contraseñas en dispositivos para evitar accesos no autorizados al dispositivo, extracción no autorizada de información, o infección del dispositivo de manera física.
  • Cifrar el disco, las carpetas o los archivos para evitar accesos no autorizados o extracciones no autorizadas de la información.
  • Utilizar comunicaciones cifradas de extremo a extremo con herramientas como Signal o Jitsi para evitar vigilancia en telecomunicaciones.
  • Utilizar navegación cifrada a través de herramientas como las VPNs, el navegador Tor, o el protocolo HTTPS, para evitar vigilancia en navegación en redes.
  • Tener cuidado con el phishing, evitando dar click en archivos o enlaces sospechosos que pudieran activar una infección.
  • Verificar periódicamente el comportamiento de los dispositivos y las cuentas, las herramientas o programas instalados, y los permisos que se les brindan a estos.
  • Mantener actualizado tu sistema operativo y sus aplicaciones, con esto evitas que haya vulnerabilidades conocidas que exponen a tu dispositivo.
  • Procura evitar instalar aplicaciones o programas innecesarios en tu dispositivo, pues esto puede disminuir la “superficie de ataque” para vulnerabilidades 0-day.

Para conocer más sobre otro tipo de ataques, puedes visitar nuestra Tipología de Ataques Digitales en  Protege.LA. Y en caso de que tengas dudas, comentarios, o sospechas de este tipo de ataques, puedes escribirnos a seguridad@socialtic.org .

Tabla de Contenido