Espiados antes de ser espiados por Pegasus

El presunto espionaje masivo al independentismo catal¨¢n fue m¨¢s all¨¢ de la infecci¨®n de m¨®viles con el virus Pegasus, el programa inform¨¢tico de la firma israel¨ª NSO que te¨®ricamente solo pueden comprar gobiernos. La investigaci¨®n realizada por Citizen Lab, el grupo de expertos en ciberseguridad de la Universidad de Toronto (Canad¨¢), revela que los autores de la intromisi¨®n tuvieron presuntamente acceso previo a informaci¨®n confidencial de sus v¨ªctimas para utilizarla como cebo en los mensajes que enviaban para poder infectar luego sus tel¨¦fonos.

¡°La sofisticaci¨®n y la personalizaci¨®n de los mensajes variaron seg¨²n los intentos, pero a menudo reflejan un conocimiento detallado de los h¨¢bitos, intereses, actividades y preocupaci¨®n del objetivo¡±, destaca el informe de Citizen Lab, que a?ade que todo apunta ¡°al uso probable de otras formas de vigilancia¡± sobre las v¨ªctimas. Entre los cebos detectados figuran tarjetas de embarque de vuelos reales, enlaces a noticias sobre el independentismo, informaci¨®n sobre la covid-19, entradas gratis para eventos o enlaces a organismos oficiales de otros pa¨ªses.

El estudio detalla que los ataques supuestamente afectaron, entre 2017 y 2020, a 63 personas, entre ellas los expresidentes de la Generalitat Artur Mas, Carles Puigdemont y Quim Torra, as¨ª como el actual mandatario catal¨¢n, Pere Aragon¨¨s. Para ello, se utilizaron dos programas esp¨ªa de origen israel¨ª, Pegasus y Candiru (conocido como Lengua del Diablo), cuyo objetivo final era acceder a la informaci¨®n contenida en la memoria y aplicaciones de los dispositivos electr¨®nicos infectados e, incluso, manejar las funciones del equipo, como la c¨¢mara y el micr¨®fono, sin que fuera percibido por el propietario.

Pero antes de todo ello, el virus deb¨ªa ser instalado en el m¨®vil. El informe detalla que con tal fin se usaron dos sistemas. Por un lado, los llamados ¡°exploits sin clic¡±, programas inform¨¢ticos que se aprovechan de las debilidades de los sistemas operativos para instalar un virus sin necesidad de que la v¨ªctima pinche un enlace. Los expertos de Citizen Lab recalcan que ¡°es especialmente dif¨ªcil defenderse¡± ante estos mecanismos de infecci¨®n, ya que ¡°no hay ninguna acci¨®n que un usuario normal pueda tomar que le proteja de manera segura contra este tipo de ataque¡±. El estudio revela dos tipos concretos de exploits utilizados contra los independentistas catalanes: los llamados Homage y Kismet.

Enlaces maliciosos

No obstante, la mayor parte de las v¨ªctimas fueron presuntamente atacadas por el segundo sistema: el env¨ªo de SMS, de los que la investigaci¨®n ha recopilado m¨¢s de 200 tipos. ¡°Enviaban mensajes de texto que conten¨ªan enlaces maliciosos dise?ados para enga?ar a los objetivos para que hicieran clic. Una vez que la v¨ªctima hace clic en un enlace, el dispositivo se infecta¡±, explican los autores del informe, que ponen como ejemplo el caso de Jordi Baylina, un inform¨¢tico barcelon¨¦s afincado en Suiza y que asesora en proyectos de voto digital.

Seg¨²n ha revelado el an¨¢lisis de sus dispositivos, Baylina sufri¨® 26 supuestos intentos de infecci¨®n y en al menos ocho ocasiones el ataque tuvo ¨¦xito. En uno de esos ataques, este inform¨¢tico recibi¨® un mensaje con un enlace para descargarse la tarjeta de embarque de un vuelo de Swiss Airlines que hab¨ªa comprado. Citizen Lab apunta a que los que ejecutaron la intromisi¨®n presuntamente tuvieron acceso al Registro de Nombres de Pasajeros (PNR en sus siglas en ingl¨¦s), una base de datos en la que las compa?¨ªas a¨¦reas deben volcar la informaci¨®n de sus clientes y cuyo fin es que la polic¨ªa pueda detectar la presencia de sujetos peligrosos. En otros casos, Baylina recibi¨® mensajes que aparentemente proced¨ªan de la Agencia Tributaria o de la Seguridad Social y que incorporaban el n¨²mero de su DNI.

Adem¨¢s, recibi¨® mensajes supuestamente procedentes de la ONG alemana European Digital Rights, con informaci¨®n sobre el pasaporte inmunitario de la covid-19, y de la operadora Swisscom, compa?¨ªa que opera en Suiza, su pa¨ªs de residencia, con tarifas del roaming [el cargo extra que cobraban las compa?¨ªas cuando sus abonados utilizan el m¨®vil fuera de su pa¨ªs]. Tambi¨¦n le lleg¨® un mensaje aparentemente enviado por el Mobile World Congress, de Barcelona, para que se descargara unas supuestas invitaciones.

Otras v¨ªctimas recibieron mensajes con notificaciones a su nombre sobre supuestas entregas de paquetes, aunque la mayor¨ªa fueron tentados con lo que aparentaban ser alertas de Twitter o de noticias ¡°generalmente enfocadas en temas de inter¨¦s para el objetivo¡±. As¨ª, las pesquisas han revelado SMS con enlaces que supuestamente remit¨ªan a informaciones de La Vanguardia, Europa Press, El Temps o El Confidencial, as¨ª como de medios extranjeros como The Guardian, Financial Times, Die Welt o Columbia Journalism Review. ¡°Nuevo instrumento pol¨ªtico de Puigdemont con mandos de PDeCAT y ERC¡± o ¡°El portavoz catal¨¢n: ¡®Puigdemont es el ¨²nico candidato viable¡±, eran los titulares de algunas de las noticias enviadas como enlaces maliciosos.

En otros casos, los supuestos ataques se enmascaraban en mensajes de ONG extranjeras, como le ocurri¨® a Marta Rovira, secretaria general de ERC y exdiputada del Parlamento catal¨¢n que huy¨® a Suiza en 2018. Rovira recibi¨® en su n¨²mero de tel¨¦fono suizo SMS enviados presuntamente por entidades del pa¨ªs centroeuropeo. Uno de ellos proced¨ªa en apariencia de la ONG Swisspeace, dedicada a promover la paz en situaciones de conflictos. El segundo, del Centro de Pol¨ªticas de Seguridad de Ginebra (GCSP en sus siglas en ingl¨¦s), una fundaci¨®n financiada por el Gobierno helv¨¦tico.

Para infectar con el virus Candiru, el estudio de Citizen Lab revela que se utiliz¨® el correo electr¨®nico. Este programa malicioso afect¨® al empresario Joan Matamala, amigo de Puigdemont, y a los expertos inform¨¢ticos Elies Campo, Xavier Vives y Pau Escrich, relacionados con iniciativas de voto digital. Vives y Escrich recibieron correos con el membrete del Ministerio de Sanidad con recomendaciones de la Organizaci¨®n Mundial de la Salud sobre qu¨¦ hacer en caso de contraer la covid. Adem¨¢s, el segundo recibi¨® otro mensaje en el que le invitaban a descargarse invitaciones para el Mobile World Congress, de Barcelona.

Por su parte, Campo recibi¨® uno aparentemente remitido por el Registro Mercantil de Barcelona con informaci¨®n real de su empresa, en el que se le advert¨ªa de que exist¨ªa otra compa?¨ªa con un nombre similar que estaba registrada en Panam¨¢. ¡°Dicho mensaje indica un alto grado de conocimiento de las actividades de Campo y es probable que generase un clic¡±, concluyen los autores del informe.