03 de Julio de 2023
De acuerdo con un artículo publicado por The Guardian, expertos en seguridad digital de Citizen Lab lanzaron una alerta sobre la aparición de un tipo de spyware previamente desconocido con capacidades de piratería comparables al Pegasus desarrollado por NSO Group que ya ha sido utilizado por empresas para atacar a periodistas, políticos y un empleado de una ONG.
Citizen Lab es un laboratorio de investigación interdisciplinario con sede en la Escuela Munk de Asuntos Globales y Políticas Públicas de la Universidad de Toronto, que se centra en la investigación, el desarrollo y la política estratégica de alto nivel y el compromiso legal en la intersección de las tecnologías de la información y la comunicación, los derechos humanos y la seguridad mundial.
Según Citizen Lab, el software espía, que es fabricado por una empresa israelí llamada QuaDream, infectó los teléfonos de algunas víctimas mediante el envío de una invitación de calendario de iCloud a los usuarios que probablemente eran clientes del gobierno del Reino Unido. Las víctimas no fueron notificadas de las invitaciones del calendario porque se enviaron para eventos registrados en el pasado, haciéndolas invisibles. Este tipo de ataques se conocen como “cero clic” porque los usuarios del teléfono móvil no tienen que hacer clic en ningún enlace malicioso ni realizar ninguna acción para infectarse.
El informe de Citizen Lab puntualiza que QuaDream comercializa la herramienta de piratería con el nombre de Reign. Los ataques de piratería que se han descubierto ocurrieron entre 2019 y 2021.
Al igual que con Pegasus de NSO, un teléfono infectado con Reign por un cliente de QuaDream puede grabar conversaciones que ocurren en las proximidades del teléfono al controlar la grabadora del teléfono, leer mensajes en aplicaciones cifradas, escuchar conversaciones telefónicas y rastrear la ubicación de un usuario, según Citizen Lab. Los investigadores descubrieron que Reign también se puede usar para generar códigos de autenticación de dos factores en un iPhone para infiltrarse en la cuenta de iCloud de un usuario, lo que permite que el operador del spyware extraiga datos directamente de la iCloud del usuario.
Este descubrimiento pone en jaque la estrategia de seguridad de la que se jacta Apple, indica The Guardian. En una declaración para The Guardian, Apple dijo que estaba “mejorando constantemente la seguridad de iOS” y que no había indicios de que el exploit de QuaDream se hubiera utilizado desde 2021.
La compañía dijo que los ataques patrocinados por el estado como los descritos en el informe de Citizen Lab cuestan millones para desarrollarlos, tienen una vida útil corta y se utilizan para atacar a personas específicas “por quiénes son o por lo que hacen”.
“La gran mayoría de los usuarios de iPhone nunca serán víctimas de ataques cibernéticos altamente dirigidos y trabajaremos incansablemente para proteger a la pequeña cantidad de usuarios que lo son”, dijo la compañía.
Citizen Lab no publicó los nombres de las personas que fueron víctimas de Reign, pero dijo que eran periodistas, figuras de la oposición política y un empleado de una ONG, y estaban ubicadas en América del Norte, Asia Central, el sudeste de Asia, Europa y el Medio Oriente. Citizen Lab también dijo que pudo detectar ubicaciones de operadores para el spyware en Bulgaria, República Checa, Hungría, Ghana, Israel, México, Rumania, Singapur, Emiratos Árabes Unidos y Uzbekistán.
Según The Guardian, QuaDream es una compañía opaca. El nombre de la empresa aparece mencionado en un informe de seguridad de diciembre de 2022 emitido por Meta que describía a QuaDream como una empresa con sede en Israel fundada por exempleados de NSO. En ese momento, Meta dijo que había eliminado 250 cuentas en Facebook e Instagram que estaban vinculadas a QuaDream y que creía que las cuentas se estaban usando para probar las capacidades del fabricante de spyware usando cuentas falsas, incluida la filtración de datos como mensajes, imágenes, videos y archivos de sonido.
QuaDream no respondió a una solicitud de comentarios enviada por The Guardian vía correo electrónico a una persona que figura en los documentos corporativos como el abogado de la empresa. La empresa no tiene un sitio web ni otros datos de contacto. Citizen Lab dijo que tampoco recibió una respuesta a las consultas que envió al abogado de la compañía.