Meta -anteriormente Facebook Inc.- ha prohibido el acceso a sus plataformas a siete empresas de vigilancia que podrían haber atacado a unos 50.000 usuarios. La empresa escribe que “la industria global de espionaje por encargo tiene como objetivo a las personas para recopilar información, manipular y comprometer sus dispositivos y cuentas a través de Internet”. Aunque estos “mercenarios cibernéticos” suelen afirmar que sus servicios sólo se dirigen a delincuentes y terroristas, nuestra investigación, que ha durado varios meses, ha llegado a la conclusión de que los ataques son indiscriminados e incluyen a periodistas, disidentes, críticos de regímenes autoritarios, familiares de opositores y activistas de derechos humanos. Inhabilitamos a siete entidades que atacaban a personas en Internet en más de 100 países; compartimos nuestros hallazgos con investigadores de seguridad, otras plataformas y responsables políticos; emitimos advertencias de cese y desistimiento; y también alertamos a las personas que creemos que fueron atacadas para ayudarles a reforzar la seguridad de sus cuentas”.
En su presentación del informe, Meta agrega: “Recientemente, ha habido un mayor enfoque en NSO, la compañía detrás del software espía Pegasus (software utilizado para habilitar la vigilancia) a la que demandamos en 2019. Sin embargo, NSO es solo una pieza de una industria global de cibermercenarios mucho más amplia. Hoy, como parte de un esfuerzo separado, estamos compartiendo nuestros hallazgos sobre siete entidades que eliminamos de nuestra plataforma por participar en actividades de vigilancia y continuaremos tomando medidas contra otros a medida que los encontremos”.
La investigación reveló que entre las plataformas se encuentran Facebook, Instagram y WhatsApp, y que los usuarios que eran objetivo de las empresas vivían al menos en 100 países. “La industria de la vigilancia es mucho más grande que una sola empresa, y es mucho más grande que el malware por encargo”, dijo Nathaniel Gleicher, jefe de política de seguridad de Meta.
¿Qué es el espionaje por encargo?
La industria mundial del espionaje por encargo tiene como objetivo a las personas a través de Internet para recopilar información, manipularlas para que revelen información y comprometer sus dispositivos y cuentas. Estas empresas forman parte de una industria en expansión que proporciona herramientas de software intrusivo y servicios de vigilancia de forma indiscriminada a cualquier cliente, sin tener en cuenta a quién se dirigen o los abusos de los derechos humanos que podrían permitir. Esta industria “democratiza” estas amenazas, poniéndolas a disposición de grupos gubernamentales y no gubernamentales que, de otro modo, no dispondrían de estas capacidades.
“Hemos observado tres fases de actividad de focalización por parte de estos actores comerciales que conforman su “cadena de vigilancia”: Reconocimiento, intervención y explotación. Cada fase alimenta a la siguiente. Mientras que algunas de estas entidades se especializan en una fase concreta del el espionaje, otras apoyan toda la cadena de ataque”, escribe Meta, que a continuación describe cada fase de la siguiente manera:
- Reconocimiento: Esta etapa suele ser la menos visible para las víctimas, que son perfiladas silenciosamente por mercenarios cibernéticos en nombre de sus clientes, a menudo utilizando software para automatizar la recopilación de datos de todo Internet. Estos proveedores extraen información de todos los registros en línea disponibles, como blogs, redes sociales, plataformas de gestión del conocimiento como Wikipedia y Wikidata, medios de comunicación, foros y sitios de la “web profunda”.
- Intervención: Esta fase suele ser la más visible para las víctimas y es fundamental para prevenir el compromiso. Su objetivo es establecer contacto con los objetivos o las personas cercanas a ellos en un esfuerzo por generar confianza, solicitar información y engañarlos para que hagan clic en enlaces o archivos maliciosos.
- Explotación: La etapa final se manifiesta como lo que comúnmente se conoce como “hacking de alquiler”. Los proveedores pueden crear dominios de phishing diseñados para engañar a las personas para que entreguen sus credenciales a cuentas sensibles como el correo electrónico, las redes sociales, los servicios financieros y las redes corporativas, o para que hagan clic en enlaces maliciosos para comprometer los dispositivos de las personas.
Como resultado de su investigación de varios meses, la empresa tomó medidas contra siete entidades diferentes de vigilancia por encargo que prestaban servicios en las tres fases de la cadena de vigilancia para atacar indiscriminadamente a personas en más de 100 países en nombre de sus clientes. Estos proveedores tienen su sede en China, Israel, India y Macedonia del Norte.
Las empresas son: Cobwebs Technologies, Cognyte, Black Cube, Bluehawk CI, BellTrox, Cytrox y dos “entidades desconocidas en China”.
El informe completo (documento PDF de 17 páginas) está disponible aquí. No requiere registro.
