Catalanes espiados con otro ‘malware’ israelí

BarcelonaMicrosoft y Citizen Lab han comunicado este jueves que han detectado a otra empresa israelí dedicada a vender programas espía a gobiernos y que se han identificado más de cien víctimas, "incluyendo políticos, activistas por los derechos humanos, periodistas, académicos, trabajadores de embajadas y disidentes políticos". Entre estas víctimas, avisa Microsoft, hay ciudadanos de Catalunya. La empresa, Candiru, tiene la sede en Tel Aviv y una estructura corporativa "deliberadamente opaca", según el informe de Citizen Lab, que añade que recluta a ex miembros de la unidad de inteligencia de señales del ejército israelí.

Microsoft asegura que ha identificado a más de 100 víctimas del software espía de Candiru, la mitad de las cuales viven en Palestina. La mayoría de las demás se han localizado en Israel, Irán, el Líbano, Yemen, España (Catalunya), el Reino Unido, Turquía, Armenia y Singapur. Microsoft destaca que la identificación de víctimas de este malware en un país "no significa necesariamente" que una agencia de este mismo país sea clienta de la empresa, porque el espionaje internacional "es habitual". Pero hay que recordar que en Catalunya Citizen Lab ya detectó el uso del programa intruso Pegasus, de la empresa israelí NSO Group –que entre sus clientes habría tenido a la administración española–, que se usó para espiar el móvil de activistas y políticos como el expresidente del Parlamento y actual conseller de Empresa, Roger Torrent.

Microsoft y Citizen Lab han trabajado conjuntamente para deshabilitar el software espía al centenar de víctimas, y el gigante del software afirma que ya ha resuelto las dos vulnerabilidades de seguridad hasta ahora desconocidas (0-days, en lenguaje técnico) de las que se aprovechaba el malware. El software espía, que Microsoft define de "altamente sofisticado", lo han denominado DevilsTongue (la lengua del diablo) y se esparcía con enlaces web enviados por programas de mensajería instantánea como por ejemplo WhatsApp. Citizen Lab ha identificado más de 750 webs vinculadas a la infraestructura espía de Candiru, incluyendo algunas que se hacían pasar por direcciones de organizaciones como Amnistía Internacional, movimientos como Black Lives Matter, medios de comunicación y entidades de la sociedad civil.

Según Microsoft, DevilsTongue tiene capacidades "estándar" para un programa de este tipo, como recopilar archivos, robar contraseñas y descargar información de las cuentas de redes sociales –o enviar mensajes como si lo hiciera la víctima–, e incluso tiene una función específica para espiar conversaciones de Signal, una de las aplicaciones de mensajería instantánea consideradas más seguras y respetuosas con la intimidad de los usuarios. Más allá del software hecho para espiar aparatos con Windows, Citizen Lab asegura que Candiru vende software capaz de infectar móviles iPhone y Android y ordenadores Mac y PC, e incluso cuentas en la nube, con varias técnicas de ataque.

Por 16 millones de euros, según Citizen Lab, Candiru ofrece un número ilimitado de infecciones o intentos de infección, pero solo permite monitorizar diez aparatos a la vez. Por un millón y medio más puede añadir 15 más e infectar aparatos en un solo país más. Por cinco millones y medio más, el cliente puede vigilar 25 dispositivos más simultáneamente y hacerlo en cinco países más. Citizen Lab ha podido capturar el programa espía en el ordenador de un ciudadano "políticamente activo" de Europa occidental, al que han podido localizar para copiarle el disco duro del ordenador. Así se ha podido analizar el funcionamiento del programa.