Activistas sostienen un cartel que dice “dejen de hackear a activistas”.

Los gobiernos pueden hackear tu teléfono mientras duermes. Así puedes evitarlo

Desde que Amnesty Tech creó el innovador Laboratorio de Seguridad en 2019, el equipo está poniendo freno a los hackeos con software espía por parte de gobiernos que pretenden amenazar a activistas y violar derechos humanos. Incorporamos especialistas en tecnología para trabajar con nuestro personal investigador en la tarea de destapar el uso de nuevas herramientas de software espía para hackear los teléfonos de activistas, periodistas de investigación, abogados de derechos humanos y otros miembros de la sociedad civil.

Donncha Ó Cearbhaill, director del Laboratorio de Seguridad de Amnistía Internacional, revela cómo el equipo apoya a quienes corren peligro de sufrir hackeos y por qué los “me gusta” de Apple y Google están funcionando con arreglo a las conclusiones de Amnistía.

Cuando Amnistía descubrió que un miembro de su personal que trabajaba sobre Arabia Saudí había sido objetivo de Pegasus, un tipo de software espía desarrollado por la entonces poco conocida NSO Group, empresa de armamento cibernético israelí, se vivió un momento de terror.

En 2018, el enlace malicioso —conectado al software espía Pegasus de NSO Group— llegó al teléfono particular de un miembro del personal a través de un mensaje de WhatsApp. No era el único objetivo. Por entonces, la investigación de Amnistía identificó a una persona crítica saudí contra la que habían actuado en la misma campaña. El enlace original de WhatsApp fue la pista fundamental, que reveló una red de 600 dominios utilizados para llevar a cabo ataques de Pegasus en decenas de países.

Una vez introducido el programa espía en los teléfonos, era capaz de extraer todos los datos del dispositivo: fotos, mensajes, ubicaciones GPS, mensajes de señal… Hasta podía grabar a la persona a través de la cámara del móvil.

A raíz de este ataque se estableció formalmente un laboratorio de seguridad dirigido por Claudio Guarnairi, quien contaba con años de experiencia en la investigación de ataques digitales. A continuación se incorporó a una diversidad de especialistas en tecnología con talento para trabajar junto a personal de Amnistía en la investigación de programas espía, estafas de phishing (suplantación de identidad) y otras formas de ataque digital. ¿Cuál es el objetivo? Destapar los ataques dirigidos contra la sociedad civil, publicar las conclusiones y elaborar métodos para que la sociedad civil sepa protegerse. La industria de la ciberseguridad se centraba en la protección de las empresas y apenas se hacían esfuerzos para abordar las sofisticadas amenazas de algunos gobiernos contra defensores y defensoras de los derechos humanos.

Cuando era adolescente me apasionaban el activismo y la tecnología. Para mí era lógico ver que los nuevos enfoques técnicos y tecnológicos podían emplearse para hacer frente a abusos contra los derechos humanos. En 2014, poco después de las revelaciones de Snowden sobre vigilancia, me mudé a Berlín y ahí sigo viviendo. En aquel momento había un movimiento de hackers, activistas y defensores de la privacidad lleno de entusiasmo por la idea de combatir los abusos de la tecnología y los sistemas de vigilancia. Esta comunidad fue una inspiración, y hoy sigue existiendo un dinámico colectivo de personas como yo que trabajan sobre la vigilancia, el software espía y otros abusos posibilitados por la tecnología. Entrar en el Laboratorio de Seguridad era perfecto para mí, ya que me daba la oportunidad de usar mis habilidades para investigar y destapar abusos tecnológicos cometidos por los Estados, y por las empresas que suministran tecnología para controlar a activistas.

Destapar un hackeo

El Laboratorio de Seguridad de Amnistía investiga de varias formas, con estrategias y herramientas que han ido evolucionando con los años.

Al principio esperábamos a que la persona se pusiera en contacto con nosotros para compartir un enlace o correo electrónico sospechoso que había recibido. El Laboratorio determinaba si era un mensaje no deseado (spam) o un ciberdelito para robar dinero. De vez en cuando se trataba de un ataque más selectivo, y podíamos confirmar que iba específicamente dirigido contra las cuentas de esa persona o que era un intento de hackear su teléfono.

Sin embargo, hay software espía tan sofisticado que, en lugar de enviar un enlace a la víctima, realiza un ataque de “clic cero”, lo que significa que el teléfono es hackeado sin que la persona se entere.

Mientras duermes por la noche, con tu teléfono al lado, el gobierno utiliza herramientas de ciberespionaje que pueden transmitir mensajes silenciosos especialmente diseñados. Estos mensajes aprovechan un sutil fallo en el software del teléfono, lo que permite al atacante introducirse en él y acceder a todos los datos del dispositivo. Empezará a extraer fotos, ubicaciones GPS, mensajes de señal… todo lo que hay en el teléfono. A menudo no resulta fácil protegerse, ya que el teléfono es hackeado a través de una vulnerabilidad no parcheada en el teléfono, que el fabricante desconoce.

Al descubrir que se estaban hackeando teléfonos mediante ataques de “clic cero”, desarrollamos una serie de innovadoras herramientas forenses, entre ellas la Mobile Verification Toolkit (MVT), para analizar los dispositivos de posibles objetivos y detectar rastros reveladores de software espía. Organizaciones de la sociedad civil ya están usando estas herramientas en todo el mundo para identificar nuevas víctimas y destapar campañas de ciberespionaje. Es un proceso complejo, parecido al juego del gato y el ratón, ya que cada vez que encontramos software espía y publicamos nuestras conclusiones, la empresa lee nuestros informes y ajusta el programa para que no sea detectado en el futuro. Es una lucha continua que se vuelve más difícil con el tiempo.

Abordar las violaciones de derechos humanos propiciadas por la tecnología

El Laboratorio de Seguridad va viento en popa. Aunque resulte cansado examinar 30 o 50 teléfonos móviles sin encontrar nada, cuando descubrimos un nuevo ataque y ayudamos a proteger a sus víctimas, hace que todo el esfuerzo haya valido la pena.

Aunque resulte cansado examinar 50 teléfonos móviles sin encontrar nada, cuando descubrimos un nuevo ataque y ayudamos a proteger a sus víctimas, todo el esfuerzo ha valido la pena. 

Donncha Ó Cearbhaill

En 2021, Amnistía Internacional trabajó con una decena de medios de comunicación asociados en todo el mundo sobre el Proyecto Pegasus, reveló pruebas periciales que demostraban que el software espía de NSO Group se utilizaba contra cientos de personas en todo el mundo, incluida una lista filtrada de 50.000 objetivos de software espía que incluía jefes de Estado, activistas, periodistas y personas críticas con su gobierno, como la familia de Jamal Khashoggi.

Más recientemente, la organización publicó un informe sobre una nueva empresa mercenaria de software espía que, al parecer, estaba desarrollando herramientas de vigilancia para venderlas a gobiernos sin escrúpulos.

A través de su proactiva investigación, el equipo identificó una nueva campaña de ciberespionaje contra personas usuarias de Android y iPhone. La información que Amnistía ha compartido con Google, que mantiene los sistemas operativos Android, permitió a sus investigadores sobre seguridad localizar y solucionar las vulnerabilidades aprovechadas en los ataques en mil millones de dispositivos Android. Trabajando con el personal investigador de Google, el equipo de Amnistía identificó también una cadena de vulnerabilidad relacionada que se estaba utilizando para atacar a personas usuarias de iPhone. La vulnerabilidad se puso en conocimiento de Apple, que adoptó una solución de emergencia para todas las personas usuarias de iPhone, deteniendo el ataque en seco.

Otro caso notable afectó a la periodista azerbaiyana Khadija Ismayilova, destacada activista que sufrió acoso y prisión por su labor periodística sobre la corrupción en el seno del gobierno. Amnistía concluyó que su teléfono era hackeado múltiples veces a la semana con ataques de “clic cero” de Pegasus. Las vulnerabilidades se introducían en su teléfono y permitían ver todos sus mensajes y fotografías, poniendo en grave peligro a ella y a las personas allegadas a ella. Cuando descubrimos e identificamos las pruebas del hackeo, Khadija quedó desolada, ya que hacía todo lo posible por protegerse ella, sus dispositivos y sus fuentes. Pero una empresa de ciberespionaje de mil millones de dólares, sumada a un poderoso gobierno que abusa de los derechos humanos, puede saltarse las medidas de seguridad más estrictas.

Tras destapar el hackeo, la ayudamos a proteger su teléfono y la información. Las conclusiones de Amnistía en el Proyecto Pegasus también elevaron la presión sobre Apple para que tomara medidas proactivas de protección a las personas específicamente atacadas con sofisticadas herramientas de ciberespionaje, y empleara sus recursos en ayudar a proteger a estos grupos de riesgo. Desde entonces, Apple ha puesto en marcha un programa de notificación en el que la propia empresa averiguará quién ha sido objeto de herramientas de espionaje y cada pocos meses enviará una nueva ronda de notificaciones a las personas en situación de riesgo, así como recomendaciones para preservar la protección. Esto ha sido útil para poner de relieve qué personas o grupos pueden sufrir ataques de los sistemas de ciberespionaje.

Cómo protegerse de sofisticados ataques de software espía

Es difícil protegerse completamente de los ataques, ya que muchos son demasiado sutiles y difíciles de detectar. Si utilizas iPhone, puedes activar el “Modo Bloqueo”, una nueva función lanzada por Apple a raíz de las investigaciones de Amnistía y otras entidades de la sociedad civil asociadas. El Modo Bloqueo es una función opcional de seguridad mejorada que previene muchos tipos de ataque con avanzados programas espías. Si crees que corres peligro de que hackeen o pirateen tu dispositivo, puede ser útil minimizar los datos delicados que introduces en tu teléfono, por ejemplo activando la desaparición de mensajes en Signal. Miembros de la sociedad civil que tengan motivos de preocupación concretos sobre los ataques de ciberespionaje pueden solicitar el apoyo especializado de la Línea de ayuda telefónica sobre seguridad digital de Access Now como al Laboratorio de Seguridad de Amnistía.

Me siento orgulloso de lo que estamos consiguiendo. Aunque son tiempos difíciles, es alentador cuando consigues destapar una nueva campaña de ciberespionaje o reparar una vulnerabilidad de ‘día cero’, y que una empresa como Apple resuelva el problema para todas las personas que usan iPhone. Es una gran noticia para defensores y defensoras de los derechos humanos, una amenaza menos a la que hacer frente, y una mala noticia para las empresas de ciberespionaje que cometen abusos contra los derechos humanos, ya que pueden haber perdido una vulnerabilidad de ‘día cero’ que vale millones de dólares o más.