Spyware Comercial: distribución, control, usos y consecuencias
Por: Iván Hernández, IMT
Hoy, los ciberdelincuentes llevan mucho tiempo utilizando productos comerciales desarrollados por empresas legítimas para vulnerar diversos dispositivos. Estos productos se conocen como programas espía comerciales los cuales se dirigen principalmente a plataformas móviles con ataques de día cero o de un solo clic para distribuir spyware. Esta amenaza salió a la luz inicialmente con las filtraciones de HackingTeam en 2015, pero adquirió notoriedad con la información pública sobre NSO Group.
El spyware comercial se ha hecho tan notorio que los gobiernos internacionales están tomando nota y actuando contra él. Un informe reciente del Centro Nacional de Ciberseguridad (NCSC) del Reino Unido destaca que la accesibilidad de estas herramientas reduce la barrera de entrada a los actores estatales y no estatales para obtener capacidad e inteligencia.
A las empresas comerciales de programas espía no les importa quién es el objetivo de sus productos
Las empresas comerciales de software espía anuncian sus productos simplemente como un medio para obtener acceso y niegan tener conocimiento de quiénes son los objetivos de sus clientes. Esta táctica es posiblemente un medio de negación plausible en el caso de que la selección ilegal de individuos se remonte a su software espía. Para evitar repercusiones legales, estas empresas tienen sus sedes en países que no tienen leyes que regulen la exportación de sus productos o que clasifican a las entidades como proveedores de servicios informáticos, lo que las exime de cualquier responsabilidad por su producto. Por tanto estas empresas pueden vender a quien pueda pagar sin tener en cuenta quiénes son los objetivos previstos o cuáles pueden ser las repercusiones para las víctimas.
Aunque se anuncian como "herramientas" para las fuerzas de seguridad y las agencias gubernamentales destinadas estrictamente a un uso legal, un informe tras otro ha demostrado que el software espía comercial se ha utilizado sistemáticamente contra objetivos éticamente cuestionables que no encajan en el perfil de delincuentes o terroristas. Dichos objetivos han sido periodistas, políticos y activistas que el gobierno anfitrión percibe como competidores o amenazas existenciales. Aunque estas tecnologías puedan existir para luchar contra el terrorismo y el crimen organizado, su venta y uso deben estar regulados y sujetos al escrutinio de las autoridades judiciales a nivel internacional para evitar su uso indebido y abuso.
El futuro sin ataduras del software espía comercial
Los desarrolladores de plataformas móviles como Google y Apple han introducido y aplicado repetidamente protecciones y mitigaciones en sus sistemas operativos. Sin embargo, los proveedores de programas espía comerciales suelen utilizar ataques de día cero y sin hacer clic para comprometer los dispositivos móviles de las víctimas, y confían tanto en su capacidad para comprometer repetidamente los teléfonos sin ser descubiertos que, en algunos casos, ni siquiera despliegan mecanismos de persistencia: un simple reinicio del dispositivo es suficiente para eliminar el implante del dispositivo. Sin embargo, un reinicio del dispositivo simplemente hace que el spyware comercial vuelva a infectar el dispositivo utilizando la combinación de día cero y clic cero que habían utilizado durante el ataque inicial, lo que indica la naturaleza agresiva de estas campañas.
Hasta que la comunidad internacional no actúe para regular la tecnología, muy poco va a cambiar. Cuando los investigadores las ponen al descubierto, algunas de estas empresas simplemente dejan de existir. Pero en realidad no cierran, sino que cambian de nombre o se fusionan con otras que comparten la tecnología que han producido. Un ejemplo típico de este tipo de casos es la empresa comercial de programas espía Cytrox, que estuvo a punto de desaparecer, pero posteriormente fue "rescatada" y ahora forma parte del conglomerado Intellexa.
Organizaciones privadas y gubernamentales han tomado medidas para frenar legalmente el uso de programas espía comerciales, incluidos intentos de hacerles responsables de sus acciones en el pasado. Meta, antes Facebook, es una de las primeras en actuar contra las empresas comerciales de programas espía al iniciar un proceso contra NSO Group por utilizar WhatsApp, propiedad de Meta, en su cadena de infección. El gobierno de Biden también ha dado un paso importante en la lucha contra estas empresas con la Orden Ejecutiva que pone limitaciones a la capacidad del gobierno de EE.UU. de utilizar programas espía comerciales para "desalentar el uso indebido de programas espía comerciales; y fomentar el desarrollo y la aplicación de normas responsables en relación con el uso de programas espía comerciales que sean coherentes con el respeto del Estado de Derecho, los derechos humanos y las normas y valores democráticos."
Sin embargo, las limitadas medidas legales y legislativas aún no han tenido un efecto positivo inmediato para frenar el uso de programas espía comerciales.
Medidas de Cisco en el ámbito del software espía comercial
Cisco también ha tomado medidas para ayudar a limitar el impacto de los programas espía comerciales. En particular, Cisco, Microsoft y otras empresas tecnológicas se han unido en apoyo de la demanda de Meta contra NSO Group, a la que se ha hecho referencia anteriormente, mediante la presentación de escritos ante los tribunales.
Perfil de riesgo
Para casi todos los habitantes del planeta, las funciones de seguridad integradas en su teléfono Apple o Android son más que suficientes para mantenerlos protegidos. Sin embargo, la industria del software espía comercial ha demostrado que es fácil comprometer objetivos si se tiene acceso a estos productos y a los medios para utilizarlos. Hemos visto numerosos informes muy preocupantes sobre personas que se han visto comprometidas y normalmente se encuentran con la noticia de que se trataba de un periodista o un disidente. La capacidad de estas empresas para comprometer repetidamente los dispositivos, independientemente del nivel de parches, dificulta la protección.
Para aquellos que crean que están siendo o podrían ser objetivo de spyware comercial, reiniciar el dispositivo antes de contactar con una fuente o cambiar al modo de bloqueo podrían ser las únicas opciones en el futuro inmediato.
Si cree que ha sido blanco de un programa espía comercial, también hay hábitos más genéricos que deberían formar parte de su rutina diaria:
● Reinicie el dispositivo con regularidad.
● Utilice el modo de bloqueo si su dispositivo es un iPhone.
● No haga clic en enlaces de fuentes dudosas.
● No acepte mensajes privados de desconocidos.
● Si tiene que mantener un contacto público, utilice un dispositivo vacío para recibir dichos contactos y reinícielo con frecuencia.
● Mantenga tus dispositivos actualizados.