La evoluci¨®n del espionaje casero: as¨ª de f¨¢cil fue para un profesor vigilar el ordenador de su alumna

Era un s¨¢bado y el director de tesis encendi¨® el ordenador que usaba su doctoranda en el Instituto de Biotecnolog¨ªa de la Universidad de Granada. Desde all¨ª busc¨® un sencillo programa inform¨¢tico. Se tom¨® un tiempo para comparar la versi¨®n gratuita y la de pago. Entr¨® en su cuenta de Paypal para comprarlo, lo descarg¨® y lo instal¨®. Ese programa?captura las teclas que el usuario pulsa, hace capturas de pantalla y lo manda a quien controla el programa.

Con ese m¨¦todo, el profesor obtuvo la contrase?a de la cuenta de Facebook de su estudiante. Cuando accedi¨® a la cuenta de ella, lo hizo desde su ordenador Apple y se busc¨® a s¨ª mismo en el buscador de Facebook. Era un modo quiz¨¢ de saber qu¨¦ pensaba ella de ¨¦l. Cuando la v¨ªctima volvi¨® a usar Facebook vio sorprendida aquella b¨²squeda rara del nombre de su profesor, cuenta su abogada, Cristina Pasquau.

Cuando la v¨ªctima volvi¨® a usar Facebook vio sorprendida aquella b¨²squeda rara con el nombre de su profesor

Entonces mir¨® el historial de navegaci¨®n del ordenador de la universidad y all¨ª encontr¨® todas las huellas de c¨®mo le hab¨ªan instalado el programa de espionaje en el equipo. El profesor no hab¨ªa borrado nada. Por si fuera poco Facebook distingu¨ªa accesos desde un m¨®vil Android o Windows y Macintosh. Solo el profesor manejaba un Mac en la universidad.

Todo esto ocurri¨® entre el 27 y el 29 de junio de 2015. M¨¢s de cuatro a?os despu¨¦s ¡ªhace pocos d¨ªas¡ª se ha sabido la resoluci¨®n del caso, que ha sido por acuerdo entre las partes: el profesor admite los hechos, ha pagado una sanci¨®n de 3.000 euros de responsabilidad civil y ha sido condenado a dos a?os de c¨¢rcel (en la que no ingresar¨¢) y dos a?os sin dirigir tesis.

Los hechos son una muestra casi perfecta de c¨®mo ser un esp¨ªa lamentable: dej¨® huellas digitales por todas partes. Fue una chapuza. Pero tambi¨¦n indica que alguien m¨¢s cuidadoso puede hacer esto bien si tiene acceso f¨¢cil al ordenador de la v¨ªctima. Hoy el programa cuesta 40 euros y tiene versi¨®n gratis. Su uso es de hecho legal en casos determinados. La primera excusa del profesor fue que hab¨ªa instalado el programa para controlar el uso de la impresora e informaci¨®n confidencial que hab¨ªa en el disco duro. Durante el proceso, sin embargo, opt¨® por admitir los hechos y confesar que lo hab¨ªa hecho por inter¨¦s personal.

A pesar de la denuncia, la universidad nunca cambi¨® al director de la tesis, que finalmente fue presentada en otra universidad en Barcelona en diciembre de 2018. "Ante la inminencia de tener que presentarla sin posibilidad de cambiar de director, la alumna sufri¨® un trastorno ansioso?depresivo y requiri¨® de baja m¨¦dica", dice Pasquau. Todo esto est¨¢ confirmado porque el profesor lo ha admitido y la v¨ªctima hizo unas capturas de pantalla. Pero la polic¨ªa cient¨ªfica no pudo analizar el disco duro porque estaba da?ado. Durante su conservaci¨®n en alg¨²n lugar de la Universidad de Granada ocurri¨® algo que perjudic¨® el disco duro.

Uno de cientos

El caso granadino es solo uno de entre cientos cada a?o. Seg¨²n los datos de Interior, el acceso ilegal inform¨¢tico se multiplic¨® por dos entre 2011 y 2018, de 789 a 1.561 casos. La variaci¨®n en casos esclarecidos y detenidos e investigados fue sin embargo mucho menor: de 114 casos esclarecidos en 2011 se pas¨® a 162 en 2018 y las personas detenidas o investigadas en realidad cayeron en esos a?os, de 52 a 41. "No es un ataque com¨²n si miramos la estad¨ªstica de ciberdelitos, pero hay casos de revelaci¨®n de secretos de todo tipo", dice el abogado David Maeztu, del bufete 451.Legal.

Los programas como el usado en este caso, del tipo keylogger, son solo un tipo de herramienta de espionaje. Hay m¨¢s. En noviembre la polic¨ªa espa?ola colabor¨® en una operaci¨®n coordinada por Europol contra una web que vend¨ªa un servicio llamado Imminent Monitor. Este servicio es un RAT (Remote Access Trojan). Sirve para controlar un m¨®vil u ordenador a distancia.

Como los keylogger, los RAT tambi¨¦n permiten espiar. Pero un RAT no necesita tener acceso f¨ªsico al dispositivo (puede alcanzarlo mediante un link, archivos, apps maliciosas) y permite controlar el aparato en remoto (conectar micro, c¨¢mara, hacer capturas de pantalla), mientras que un keylogger debe instalarse y manda informaci¨®n puntual, sin posibilidad de m¨¢s.

"Cualquiera con una inclinaci¨®n perjudicial a espiar o robar pod¨ªa usarlo por unos 22 euros"

"Imminent Monitor era considerado peligroso por sus caracter¨ªsticas, facilidad de uso y bajo coste. Cualquiera con una inclinaci¨®n perjudicial a espiar v¨ªctimas o robar datos personales pod¨ªa usarlo por unos 22 euros", dice la nota de prensa de Europol. Las autoridades calculan que el malware fue comprado por 14.500 personas en 124 pa¨ªses. En la operaci¨®n detuvieron a 13 de sus usuarios m¨¢s prol¨ªficos.

El uso principal de Imminent Monitor era probablemente el cibercrimen, seg¨²n fuentes de la polic¨ªa. Pero el tipo de material encontrado por las fuerzas de seguridad incluye "fotos privadas, detalles personales y v¨ªdeos", seg¨²n Europol. La dedicaci¨®n personal que requiere el control de un RAT hace pensar que su uso es m¨¢s espec¨ªfico: "El atacante controla cada dispositivo infectado manualmente. Esto lleva tiempo y dedicaci¨®n, lo que hace que las infecciones de RAT sean menos numerosas que las de otros malware como Zeus, FakeSpy, Retadup", dice Ver¨®nica Valeros, investigadora de la Czech Technical University de Praga.

Valeros lleva a?os estudiando los RAT. No cree que su uso est¨¦ mucho m¨¢s extendido: "Los a?os entre 2010 y 2014 o 2015 fueron los a?os m¨¢s activos seg¨²n mi investigaci¨®n. Quiz¨¢s ahora se les presta un poco m¨¢s de atenci¨®n y por eso se percibe ese aumento", explica.

Como con los keylogger, los RAT tambi¨¦n tienen un uso leg¨ªtimo: "Se emplean mucho para poder proveer control y asistencia remota a dispositivos. Pero hay muchos cuyo c¨®digo se ha filtrado y esto hace que cualquiera pueda agarrar ese c¨®digo, cambiarlo, y convertirlo en su propio RAT", explica la investigadora.

Tambi¨¦n como los keyloggers, un RAT no requiere de hackers profesionales: "Los RAT son f¨¢ciles de operar y ofrecen un rango de funcionalidades muy amplio", a?ade Valeros.

La actuaci¨®n policial tiene probablemente que ver con la facilidad de distribuci¨®n del malware Imminent Monitor: "Muchas de estas herramientas no solo las explota quien las dise?a. Es malware para alquilar o vender, que no es tan complicado de usar", dice Eusebio Nieva, director t¨¦cnico de Check Point.