A principios de este año, los investigadores de la firma rusa de ciberseguridad Kaspersky presenciaron una campaña de ciberespionaje dirigida a los PC con Microsoft Windows en entidades gubernamentales y de telecomunicaciones en China y Pakistán.
Dichos ataques comenzaron en junio de 2020 y continuaron hasta abril de 2021, lo que despertó un mayor interés fue el software de piratería utilizado por los espías digitales, apodado Bitter APT, en el que los aspectos del código se parecían a algunos que Kaspersky, el proveedor de antivirus de Moscú lo había visto anteriormente y atribuido a una empresa a la que dio el criptónimo Moses.
De acuerdo con Kaspersky, Moses era un misterioso proveedor de tecnología de piratería. Estas empresas operan en un nicho de mercado dentro de la industria de la ciberseguridad general de 130,000 millones de dólares (mdd), creando software, un “exploit”, que puede piratear computadoras a través de vulnerabilidades no parchadas conocidas como “zero days” (el término proviene del hecho de que los desarrolladores tienen “cero días” para solucionar el problema antes de que se conozca públicamente).
Actúan como ganzúas superpoderosas, encontrando lagunas en los sistemas operativos o aplicaciones para permitir que un pirata informático o un espía se infiltre en la vida digital de los objetivos.
Por ejemplo, los atacantes utilizaron al menos un “Zero” en un infame ataque de 2020 contra SolarWinds, el proveedor de software de capitalización de mercado de 2,500 mdd y muchos de sus clientes, desde departamentos gubernamentales de Estados Unidos hasta gigantes tecnológicos como Cisco y Microsoft.
Los ataques le costaron a SolarWinds al menos 18 mdd con advertencias de que la cifra general, contando el costo para los clientes de SolarWinds que también se vieron comprometidos, podría llegar a decenas de miles de millones de dólares.
A veces las empresas estadounidenses no son las víctimas, sino las que alimentan el costoso espionaje digital. Forbes ha averiguado que la verdadera identidad de Moses es una empresa de Austin, Texas, llamada Exodus Intelligence, de acuerdo con dos fuentes familiarizadas con la investigación de Kaspersky.
A pesar de ser poco conocido y fuera del mundo de la ciberseguridad, Exodus durante los últimos diez años, se ha hecho un nombre con una historia en la portada de la revista Time y la filtración de una herramienta que las fuerzas del orden utilizaron para piratear el navegador anónimo Tor con el objetivo atrapar a pedófilos.
De igual forma tiene asociaciones con la Agencia de Proyectos de Investigación Avanzados de Defensa (DARPA, por sus siglas en inglés) y las principales empresas de tecnología como lo son Cisco y Fortinet con un equipo de ciberseguridad de 2,600 mdd (según sus ventas durante el 2020).
“Son importantes porque el tamaño del mercado es relativamente pequeño y el conjunto de habilidades necesarias [para encontrar ‘zero days’] está en posesión de unas pocos miles de personas en todo el mundo en un momento dado”, explicó Katie Moussouris, fundadora de Luta Seguridad y creadora del programa de recompensas por errores de Microsoft.
Cuando los países del Five Eyes (alianza de naciones que incluye a Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda) le soliciten a la compañía Exodus o sus aliados más información éstos deberán proporcionarla sobretodo por la vulnerabilidad de “zero days”.
Sin embargo, su producto principal es similar a un suministro de noticias de Facebook sobre las vulnerabilidades del software, sin exploits, por hasta 250,000 dólares al año. Se comercializa principalmente como una herramienta para defensores, pero los clientes pueden hacer lo que quieran con la información de esos “zero days” de Exodus, los que generalmente cubren los sistemas operativos más populares, desde Windows hasta Android de Google y iOS de Apple.
Ese feed es lo que la India compró y probablemente utilizó como arma, explica Logan Brown, director ejecutivo y cofundador de Exodus, de 37 años. Además le declaró a Forbes que, después de una investigación, cree que India seleccionó una de las vulnerabilidades de Windows, lo que permite un acceso profundo al sistema operativo de Microsoft, y que el personal del gobierno indio o un contratista lo adaptó por medios maliciosos.
Posteriormente, India no pudo comprar nuevas investigaciones de “zero days” en abril, dice Brown, y ha trabajado con Microsoft para parchar las vulnerabilidades.
El uso de la investigación de su empresa por parte de la India fue increíble, aunque Exodus no limita lo que los clientes hacen con sus hallazgos, de acuerdo con Brown, y agrega: “Puede usarlo de manera ofensiva si lo desea, pero no si lo va a hacer podría ser una voladura de escopeta Pakistán y China. No quiero ser parte de eso”. (La embajada de India en Londres no respondió a las solicitudes de comentarios por parte de Forbes).
De igual forma, la compañía analizó una segunda vulnerabilidad que Kaspersky atribuyó a Moses, otra falla que permitía a un pirata informático obtener privilegios más altos en una computadora con Windows. No estaba vinculado a ninguna campaña de espionaje en particular, pero Brown confirma que era una de su empresa, y agregó que tendría “sentido” que India o uno de sus contratistas también hubiera armado esa vulnerabilidad.
Actualmente Brown está explorando si su código ha sido filtrado o abusado por otros. Más allá de los dos “zero days” que ya se han abusado, según Kaspersky, “al menos seis vulnerabilidades” han sido creadas por Moses en los últimos dos años.
También según Kaspersky, otro equipo de piratería conocido como DarkHotel, que algunos investigadores de ciberseguridad creen que está patrocinado por Corea del Sur, ha utilizado los “zero days” de Moses. Corea del Sur no es cliente de Exodus. “Estamos bastante seguros de que India filtró parte de nuestra investigación”, dice Brown. “Los cortamos y no hemos escuchado nada desde entonces … así que la suposición es que estábamos en lo cierto”.
“No estaría involucrado en esta empresa en absoluto si estuviéramos, por ejemplo, trabajando con los saudíes”.
Pedram Amini, fundador de Zero Day Initiative y asesor de Exodus Intelligence
Cualquier derrame de “zero days” de este tipo sería especialmente preocupante si se tratara de una empresa que intenta controlar alrededor de 50 “zero days” al año, cubriendo los sistemas operativos más populares del mundo, desde Windows hasta Android y iOS de Apple.
Brown no es el único que ve cómo se utiliza su creación de formas que no pretendía. Luca Todesco, un desarrollador italiano de “zero days” y exalumno de Forbes 30 Under 30, tuiteó el año pasado sobre “el peor resultado que pude ver al hacer mi línea de trabajo” tras ver los hacks de iPhone utilizados para la vigilancia de la comunidad uigur, una minoría perseguida en China.
Después de que los investigadores de Google detallaran los ataques a los iPhones pertenecientes a miembros de la comunidad uigur, Todesco se dio cuenta de que una de las técnicas detalladas por el gigante tecnológico se parecía mucho a algo que había desarrollado y compartido con contactos chinos.
A través mensajes directos a través de Twitter, Todesco negó haber vendido algún código que ayudará a crear los ataques, pero dijo que había estado compartiendo abiertamente sus hallazgos con varias personas anónimas. Afirmó que no sabía cómo o por qué su código terminó siendo utilizado en ataques a la comunidad uigur, pero agregó que “habría evitado compartir información si lo hubiera sabido”. Actualmente continúa desarrollando exploits como parte de una nueva empresa italiana, Dataflow Security.
Ese tipo de abuso es lo que ha preocupado últimamente a Aaron Portnoy, exejecutivo de 36 años y cofundador de Exodus con Brown. Portnoy pasó una década creando software de piratería que podía eludir la seguridad de las empresas más grandes del mundo: Apple, Google, Microsoft.
Cuando Portnoy dejó Exodus en 2015, pasó a trabajar para el gigante de la defensa Raytheon y una startup de “guerra electrónica” con sede en San Diego llamada Boldend. Pero hoy, el hacker autodidacta de 36 años, que abandonó Northwestern para labrarse su propia carrera en ciberseguridad, le preocupa no haber sabido nunca quién tenía acceso a su código o cómo lo usaban.
Ahora lamenta haber cedido el control de sus “zero days” a los vendedores. “Es casi como si se estuvieran aprovechando de mí … me sentí como si fuera una herramienta que se estaba utilizando para un propósito más grande del que realmente no tenía conocimiento“, dice Portnoy, que ahora ejerce su oficio en Randori, Massachusetts. “No sé si confiaría en que cualquier administración tomaría todas las decisiones que yo tomaría”.
Sin embargo Exodus hizo bien en aislar a India, dice Moussouris, y los compradores deberían tener más responsabilidad cuando se trata de prevenir abusos. Brown agrega que solo ha tenido que interrumpir a otro cliente, una agencia de policía francesa, luego de que se descubrió un hack de Exodus que usaba para atacar a los depredadores de niños de la deep web.
“Cada vez que nuestros datos se vuelven accesibles al público, especialmente a los actores malintencionados, es un incumplimiento del contrato”, agrega Brown.
Pedram Amini, asesor de Exodus y fundador de Zero Day Initiative, dice que el historial de la compañía de cortar lazos con solo dos clientes durante una década es impresionante. Amini agrega que está feliz con “la cuerda que Exodus estaba trazando” cuando investiga a los clientes. “No estaría involucrado en esta empresa en absoluto si estuviéramos, por ejemplo, trabajando con los saudíes”.
Sabiendo que sus días cero pueden usarse de manera ofensiva, la compañía de Brown podría haber optado por no vender a India, un país que ha sido acusado de abuso de software espía en revelaciones recientes sobre el uso global de herramientas realizadas por el grupo NSO Group de Israel, valorado en 1,000 mdd.
A principios de este año, una coalición de periódicos y organizaciones sin fines de lucro llamada Proyecto Pegasus alegó que los teléfonos del líder del partido opositor del Congreso, Rahul Gandhi, y algunos de sus asociados cercanos habían sido atacados, lo que llevó a denuncias de traición contra el gobierno del primer ministro Narendra Modi. (El gobierno negó que se hubiera producido un uso no autorizado de software espía).
En 2019, WhatsApp, propiedad de Facebook, declaró que los periodistas y activistas indios habían sido atacados con el software de vigilancia del iPhone de NSO. “Al vender tecnología que se puede utilizar con fines ofensivos al gobierno de la India, te encontrarás en una situación en la que podrías estar alimentando ese tipo de abuso”, puntualizó John Scott-Railton, investigador principal de Citizen Lab en la Universidad de Escuela Munk de Toronto. De manera similar, Todesco podría haber optado por mantener en secreto sus hallazgos en lugar de compartirlos con contactos chinos.
También te puede interesar:
A principios de este año, el presidente de Microsoft, Brad Smith, advirtió sobre los peligros que representa la industria global del software espía, llamando a NSO por su nombre. Dijo que los proveedores de la industria estaban entregando “aún más capacidad a los principales atacantes de los estados-nación” y exacerbando la “proliferación de ataques cibernéticos a otros gobiernos que tienen el dinero pero no la gente para crear sus propias armas”.
Con Exodus en India, existe la preocupación de que los estadounidenses estén empeorando las cosas. Forbes reveló a principios de este año que Battery (una firma de capital de riesgo con sede en Boston), había ayudado silenciosamente a lanzar un competidor de NSO, Paragon.
A principios de este mes, el Departamento de Justicia reveló que dos compañías estadounidenses vendieron software de piratería para iPhone, cada herramienta con un costo de 1,300 mdd, a un contratista en los Emiratos Árabes Unidos que estaba realizando operaciones de espionaje para este país.
De acuerdo con la agencia Reuters, esas vulnerabilidades de iOS se utilizaron en cientos de objetivos, incluido el Emir de Qatar y un activista de derechos humanos ganador del Premio Nobel de la Paz en Yemen. “Necesitamos entender qué papel juega el mercado ofensivo privado de EU en el mundo”, añadió Scott-Railton.
Con el suministro allí, el gobierno estadounidense está hambriento de hacks de todo tipo de tecnologías. A principios de este año, dos agentes del FBI fueron asesinados a tiros por un sospechoso de pedofilia en Florida a principios de este año (los asesinatos fueron facilitados por una cámara de timbre que alertó al tirador de la presencia de la policía).
Brown dice que después de esos asesinatos, el FBI se acercó a empresas como Exodus diciendo que quería mejores “capacidades de monitoreo” para crear dispositivos como cámaras domésticas.
Dado que muchos trabajadores de agencias han regresado a la oficina este verano con la reapertura posterior a Covid-19, agrega Brown, la demanda se ha disparado, especialmente para las herramientas de vigilancia de teléfonos inteligentes. “Todo el mundo es móvil”.
Forbes