Así funciona el ciberespionaje del Catalangate contra el independentismo

Los atacantes han usado mensajes de texto trampa con información personal real y suplantando empresas, instituciones y ONG

Laura Borràs y el expresidente de la Generalitat Artur Mas a la tribuna del parlamento en una imagen de archivo
19/04/2022
4 min

La investigación del grupo Citizen Lab de la Universidad de Toronto que ha destapado el Catalangate ha detectado que como mínimo 63 políticos, activistas, abogados y periodistas catalanes vinculados al independentismo han sido víctimas del programa espía de teléfonos móviles Pegasus. A algunos el programa israelí les llegó a infectar el teléfono, otros fueron objetivo de ataques que o bien fracasaron o bien no queda constancia de que tuvieran éxito. Los investigadores de Citizen Lab han documentado cómo se lo han montado los ciberespías para atacar los teléfonos móviles e instalar un programa que les da acceso total al aparato, a todo aquello que se guarda en él y que les permite incluso activar la cámara y el micrófono sin que el propietario se dé cuenta. En concreto, los investigadores han identificado dos técnicas de ataque: SMS maliciosos y cero-click exploits, que pasan desapercibidos para las víctimas.

Las técnicas Homage y Kismet habrían usado entre el 2019 y el 2020 vulnerabilidades de la aplicación iMessage de los iPhone que en principio ya están solucionadas si se tiene el móvil actualizado (eran para las versiones 13 de la iOS, la actual es la 15.4.1). Así, mandando un mensaje al teléfono de la víctima se daba una orden al aparato para que se conectara a un servidor en manos de NSO, se descargara el software espía y se instalara en el teléfono. El propietario del móvil que sufre un ataque así normalmente ni siquiera se da cuenta: funciona sin que tenga que abrir el mensaje ni ningún enlace, por eso se denominan ataques cero-click. Otra técnica parecida centrada en WhatsApp –que es la que se habría usado contra Roger Torrent cuando era presidente del Parlament– consiste en inundar de datos la memoria buffer del aparato y consigue así ejecutar el código malicioso de manera remota. Si la aplicación de WhatsApp está adecuadamente actualizada, ya no tendría que funcionar.

Mensajes trampa

Muchas víctimas, sin embargo, fueron objetivo de ataques con SMS maliciosos. Citizen Lab ha recopilado 200 ejemplos de mensajes de texto trampa con enlaces que, si se clica en ellos, descargan el software malicioso. Pero siempre requieren que la víctima haga clic. Los investigadores explican que la sofisticación y personalización de algunos de estos mensajes "refleja a menudo una comprensión detallada de los hábitos, intereses, actividades y preocupaciones del objetivo", hasta el punto que esto indica que ya se les vigilaba de alguna otra manera.

El empresario tecnológico Jordi Baylina, vinculado a proyectos de voto digital y gobernanza descentralizada, recibió un mensaje de texto con un remitente falso de Swiss Airlines y un enlace que en teoría era de una tarjeta de embarque de un vuelo que había comprado de verdad pero que en realidad descargaba el malware Pegasus. Esto quiere decir que el atacante sabía qué vuelo en concreto había comprado. Otras víctimas recibieron falsos mensajes de la Agencia Tributaria y de la Seguridad Social, a menudo con datos personales e incluso partes de números de identificación auténticos. Otras muchas víctimas recibieron SMS que simulaban servicios de envío de paquetes, y algunos incluían el nombre de la víctima.

Ejemplos de mensajes trampa detectados por Citizen Lab.

También han detectado mensajes que simulaban notificaciones de Twitter o incluso enlaces a noticias que podían interesar al objetivo del ataque, suplantando medios de comunicación estatales e internacionales. Algunos de los mensajes que se enviaban a catalanes en el exterior simulaban números de teléfono internacionales. Marta Rovira, por ejemplo, en Suiza recibió por SMS mensajes desde presuntos números suizos que suplantaban a una ONG y a una entidad del gobierno suizo.

Matamala, el paciente cero de Candiru

El empresario y presidente de la Fundación Llibreria Les Voltes de Girona, Joan Matamala, muy cercano a Carles Puigdemont, ha sido bautizado por Citizen Lab como el "paciente cero" de Candiru, un programa espía israelí con el que se habían infectado los aparatos de más de cien políticos, activistas por los derechos humanos, periodistas, académicos, trabajadores de embajadas y disidentes de diferentes países mediante dos vulnerabilidades de software de Microsoft, según han podido detectar los investigadores. De hecho, cuando hicieron la primera investigación sobre Candiru detectaron una infección en el campus de la Universitat de Girona. Consiguieron concretar que el ordenador afectado era el de Matamala, y que la infección continuaba activa.

Miembros de Citizen Lab contactaron con compañeros de Matamala en la universidad, que con una excusa lo alejaron del ordenador –que continuaba vigilado– para explicarle qué pasaba. Él aceptó que hicieran un análisis forense del aparato y esto permitió que pudieran analizar el código. Con el consentimiento de Matamala, compartieron la información con Microsoft, "que descubrió más de 100 víctimas en 10 países".

De los 63 infectados u objetivos de intentos de espionaje con Pegasus que ha detectado Citizen Lab, dos también habían sido infectados por Candiru. Además, los investigadores han detectado dos víctimas más a quienes solo se había atacado con el software espía Candiru.

stats