Este año, las autoridades locales piratearon los teléfonos de un periodista y un activista serbios utilizando un dispositivo de desbloqueo de teléfonos móviles fabricado por el fabricante de herramientas forenses Cellebrite. El objetivo de las autoridades no era sólo desbloquear los teléfonos para acceder a sus datos personales, como permite Cellebrite, sino también instalar software espía para permitir una mayor vigilancia. según un nuevo informe de Amnistía Internacional.

Amnistía dijo en su informe que cree que estas son «las primeras infecciones de software espía documentadas forensemente habilitadas por el uso» de herramientas Cellebrite.

Esta técnica tosca pero eficaz es una de las muchas formas en que los gobiernos utilizan software espía para vigilar a sus ciudadanos. En la última década, organizaciones como Amnistía y el grupo de derechos digitales Citizen Lab han documentado docenas de casos en los que los gobiernos utilizaron software espía avanzado fabricado por proveedores de tecnología de vigilancia occidentales, como NSO Group, Intellexa y el ahora desaparecido pionero del software espía Hacking Team, entre otros. , para piratear de forma remota a disidentes, periodistas y opositores políticos.

Ahora, a medida que el software espía de día cero y el software espía instalado remotamente se vuelven más caros gracias a las mejoras de seguridad, es posible que las autoridades tengan que depender más de métodos menos sofisticados, como poner sus manos físicamente en los teléfonos que quieren piratear.

Si bien muchos casos de abuso de software espía ocurrieron en todo el mundo, no hay garantía de que no puedan ocurrir (o no ocurran) en los Estados Unidos. En noviembre, Forbes informó que el Servicio de Inmigración y Control de Aduanas (ICE) del Departamento de Seguridad Nacional gastó 20 millones de dólares para adquirir herramientas de vigilancia y piratería telefónica, entre ellas Cellebrite. Dada la prometida campaña de deportación masiva del presidente electo Donald Trump, como Forbes Como se informó, a los expertos les preocupa que ICE incremente sus actividades de espionaje cuando la nueva administración tome el control de la Casa Blanca.

Una breve historia de los primeros programas espía

La historia tiende a repetirse. Incluso cuando aparece por primera vez algo nuevo (o no documentado), es posible que en realidad sea una iteración de algo que ya sucedió.

Hace veinte años, cuando el software espía gubernamental ya existía pero se sabía poco dentro de la industria antivirus encargada de defenderse contra él, la instalación física de software espía en la computadora de un objetivo era la forma en que los policías podían acceder a sus comunicaciones. Las autoridades debían tener acceso físico al dispositivo del objetivo (a veces irrumpiendo en su casa u oficina) y luego instalar manualmente el software espía.

Es por eso que, por ejemplo, las primeras versiones del software espía de Hacking Team de mediados de la década de 2000 fueron diseñadas para ejecutarse desde una memoria USB o un CD. Incluso antes, en 2001, El FBI irrumpió en la oficina del mafioso Nicodemo Scaro instalar un software espía diseñado para monitorear lo que Scaro escribía en su teclado, con el objetivo de robar la clave que usaba para cifrar sus correos electrónicos.

Estas técnicas están volviendo a ser populares, si no por necesidad.

Citizen Lab documentó un caso a principios de 2024 en el que la agencia de inteligencia rusa FSB supuestamente instaló software espía en el teléfono del ciudadano ruso Kirill Parubets, un activista político de la oposición que vivía en Ucrania desde 2022, mientras estaba bajo custodia. Las autoridades rusas obligaron a Parabuts a revelar la contraseña de su teléfono antes de instalar un software espía capaz de acceder a sus datos privados.

Detener y buscar

En los casos recientes en Serbia, Amnistía encontró un nuevo software espía en los teléfonos del periodista Slaviša Milanov y del activista juvenil Nikola Ristić.

En febrero de 2024, la policía local detuvo a Milanov para lo que parecía un control de tráfico de rutina. Posteriormente fue llevado a una comisaría, donde los agentes le quitaron su teléfono Android, un Xiaomi Redmi Note 10S, mientras lo interrogaban, según Amnistía.

Cuando Milanov lo recuperó, dijo que encontró algo extraño.

“Noté que mis datos móviles (transmisión de datos) y Wi-Fi están apagados. La aplicación de datos móviles de mi teléfono móvil siempre está encendida. Esta fue la primera sospecha de que alguien entró en mi teléfono móvil”, dijo Milanov a TechCrunch en una entrevista reciente.

Milanov dijo que luego usó Quédate libreun software que rastrea cuánto tiempo alguien usa sus aplicaciones, y notó que “muchas aplicaciones estaban activas” mientras el teléfono supuestamente estaba apagado y en manos de la policía, quien, según dijo, nunca le había pedido ni obligado a dar el código de acceso de su teléfono.

“Se demostró que durante el período de 11:54 am a 1:08 pm se activaron principalmente las aplicaciones de Configuración y Seguridad, y Administrador de archivos así como Google Play Store, Grabadora, Galería, Contacto, lo que coincide con la hora en que el teléfono No estaba conmigo”, dijo Milanov.

“Durante ese tiempo extrajeron 1,6 GB de datos de mi teléfono móvil”, dijo.

En ese momento, Milanov estaba «desagradablemente sorprendido y muy enojado» y tuvo un «mal presentimiento» de que su privacidad estaba comprometida. Se puso en contacto con Amnistía para que revisaran su teléfono de forma forense.

Donncha Ó Cearbhaill, jefe del Laboratorio de Seguridad de Amnistía, analizó el teléfono de Milanov y, de hecho, descubrió que había sido desbloqueado usando Cellebrite y había instalado un software espía de Android que Amnistía llama NoviSpy, de la palabra serbia que significa «nuevo».

El software espía probablemente se utilice «ampliamente» en la sociedad civil

El análisis de Amnistía del software espía NoviSpy y una serie de errores de seguridad operativa, u OPSEC, señalan a la inteligencia serbia como el desarrollador del software espía.

Según el informe de Amnistía, el software espía se utilizó para “infectar sistemática y encubiertamente dispositivos móviles durante el arresto, la detención o, en algunos casos, entrevistas informativas con miembros de la sociedad civil. En múltiples casos, los arrestos o detenciones parecen haber sido orquestados para permitir el acceso encubierto al dispositivo de un individuo para permitir la extracción de datos o la infección del dispositivo”, según Amnistía.

Amnistía cree que NoviSpy probablemente se desarrolló en el país, a juzgar por el hecho de que hay comentarios y cadenas en idioma serbio en el código, y que fue programado para comunicarse con servidores en Serbia.

Un error de las autoridades serbias permitió a los investigadores de Amnistía vincular NoviSpy con la Agencia Serbia de Información de Seguridad, conocida como Bezbedonosno-informaciona Agencija, o BIA, y uno de sus servidores.

Durante su análisis, los investigadores de Amnistía descubrieron que NoviSpy fue diseñado para comunicarse con una dirección IP específica: 195.178.51.251.

En 2015, exactamente esa misma dirección IP se vinculó a un agente de la BIA serbia. En el momento, Citizen Lab descubrió que esa dirección IP específica se identificó como “DPRODAN-PC” en Shodan, un motor de búsqueda que enumera servidores y computadoras expuestos a Internet. Resulta que una persona con una dirección de correo electrónico que contenía «dprodan» había estado en contacto con el fabricante de software espía Hacking Team sobre una demostración en febrero de 2012. Según correos electrónicos filtrados de Hacking Team, los empleados de la empresa realizaron una demostración en Belgrado, la capital de Serbia, alrededor de esa fecha, lo que llevó a Citizen Lab a concluir que «dprodan» también es un BIA serbio. empleado.

El mismo rango de direcciones IP identificado por Citizen Lab en 2015 (195.178.51.xxx) todavía está asociado con la BIA, según Amnistía, que dijo que encontró que el sitio web público de la BIA estuvo alojado recientemente dentro de ese rango de IP.

Amnistía dijo que realizó análisis forenses de dos docenas de miembros de la sociedad civil serbia, la mayoría de ellos usuarios de Android, y encontró otras personas infectadas con NoviSpy. Algunas pistas dentro del código de software espía sugieren que la BIA y la policía serbia lo han estado utilizando ampliamente, según Amnistía.

La BIA y el Ministerio del Interior de Serbia, que supervisa a la policía serbia, no respondieron a la solicitud de comentarios de TechCrunch.

El código de NoviSpy contiene lo que los investigadores de Amnistía creen que podría ser un ID de usuario creciente, que en el caso de una víctima fue 621. En el caso de otra víctima, infectada alrededor de un mes después, ese número fue superior a 640, lo que sugiere que las autoridades habían infectado más. de veinte personas en ese lapso de tiempo. Los investigadores de Amnistía dijeron que encontraron una versión de NoviSpy con fecha de 2018 en VirusTotal, un repositorio de escaneo de malware en línea, lo que sugiere que el malware se había desarrollado durante varios años.

Como parte de su investigación sobre el software espía utilizado en Serbia, Amnistía también identificó un exploit de día cero en los conjuntos de chips Qualcomm utilizados contra el dispositivo de un activista serbio, probablemente con el uso de Cellebrite. Qualcomm anunció en octubre que había solucionado la vulnerabilidad tras el descubrimiento de Amnistía.

Cuando se le contactó para hacer comentarios, el portavoz de Cellebrite, Victor Cooper, dijo que las herramientas de la compañía no se pueden utilizar para instalar malware, «un tercero tendría que hacerlo».

El portavoz de Cellebrite se negó a proporcionar detalles sobre sus clientes, pero añadió que la empresa «investigaría más». La compañía dijo que si Serbia rompiera su acuerdo de usuario final, «reevaluaría si es uno de los 100 países con los que hacemos negocios».