Aprovechaba un error en iMessage de Apple para apoderarse del teléfono de la víctima y se utilizó contra cientos de personas en Karma, una gran campaña de vigilancia y espionaje entre cuyos objetivos figuran rivales geopolíticos, disidentes y activistas. El FBI acaba de multar a los responsables
Cuando los Emiratos Árabes Unidos (EAU) pagaron más de 1,3 millones de dólares (1,1 millones de euros) por una potente y sigilosa herramienta de hackeo de iPhones en 2016, los espías de la monarquía y los piratas informáticos estadounidenses que habían contratado la empezaron a usar de inmediato.
El sistema aprovechaba un error en la app iMessage de Apple para apoderarse por completo del iPhone de la víctima. Se utilizó contra cientos de objetivos en una gran campaña de vigilancia y espionaje entre cuyas víctimas estaban varios rivales geopolíticos, disidentes y activistas de derechos humanos.
Los informes presentados por el Departamento de Justicia de Estados Unidos el martes de la semana pasada detallan cómo la venta fue facilitada por un grupo de piratas estadounidenses que trabajaban para Abu Dabi (EAU), sin permiso legal de Washington (EE. UU.). Pero los documentos sobre el caso no revelan quién vendió el poderoso exploit del iPhone a los emiratíes.
Dos fuentes con información sobre el asunto confirmaron a MIT Technology Review que el exploit había sido desarrollado y vendido por la empresa estadounidense Accuvant, que se fusionó hace varios años con otra compañía de seguridad, y actualmente representa una parte de otra sociedad más grande llamada Optiv. La noticia de la venta arroja más luz sobre el mundo de los exploits y también sobre el papel de las empresas estadounidenses y los piratas en la proliferación de la poderosa tecnología de hackeo en todo el mundo.
El portavoz de Optiv, Jeremy Jones, escribió en un correo electrónico que su empresa "ha cooperado plenamente con el Departamento de Justicia" y que Optiv "no es objeto de esta investigación". Es cierto: los objetivos de la investigación son los tres antiguos miembros del cuerpo militar y de inteligencia de EE. UU. que trabajaron ilegalmente con los Emiratos Árabes Unidos. Sin embargo, el papel de Accuvant como desarrollador y vendedor de exploits fue lo suficientemente importante como para ser mencionado detalladamente en los documentos judiciales del Departamento de Justicia de EE. UU.
El exploit de iMessage fue el arma principal del programa emiratí Karma, dirigido por la organización DarkMatter, que se hacía pasar por una empresa privada, pero que, de hecho, funcionaba como una agencia de espionaje de facto para los Emiratos Árabes Unidos.
Reuters informó sobre la existencia de Karma y del exploit de iMessage en 2019. Pero el martes de la semana pasada, Estados Unidos multó a los tres antiguos miembros del cuerpo militar y de inteligencia de Estados Unidos con 1,68 millones de dólares (1,43 millones de euros) por su trabajo no autorizado como hackers mercenarios en los Emiratos Árabes Unidos. Esa actividad incluyó comprar la herramienta de Accuvant y dirigir las campañas de hackeo financiadas por los Emiratos Árabes Unidos.
Los documentos judiciales de Estados Unidos señalan que los exploits habían sido desarrollados y vendidos por algunas empresas estadounidenses, pero no nombraron a las empresas de hackeo. El papel de Accuvant no se había mencionado hasta ahora.
"El FBI investigará a fondo a las personas y empresas que se benefician de la ciberdelincuencia. Este es un mensaje claro para todos, incluidos los antiguos empleados del Gobierno de EE. UU., los que hayan considerado utilizar el ciberespacio para aprovechar la información controlada de exportaciones en beneficio de algún gobierno extranjero o de alguna empresa comercial extranjera: existe un riesgo y habrá consecuencias", afirmó en un comunicado el subdirector de la División Cibernética del FBI, Bryan Vorndran.
Un prolífico desarrollador de 'exploits'
A pesar de que los Emiratos Árabes Unidos se consideran un aliado cercano de Estados Unidos, según los documentos judiciales y algunos denunciantes, DarkMatter está vinculado con distintos ciberataques contra numerosos objetivos estadounidenses.
Gracias a la colaboración, los conocimientos y el dinero estadounidenses, DarkMatter desarrolló las capacidades de hackeo ofensivo de los EAU durante varios años desde casi cero hasta una operación impresionante y activa. El grupo gastó mucho dinero para contratar a hackers estadounidenses y occidentales para desarrollar y, a veces, dirigir las ciberoperaciones del país.
En el momento de la venta, Accuvant era un laboratorio de investigación y desarrollo que se especializaba en exploits de iOS y los vendía. Hace una década, se ganó la reputación de ser un prolífico desarrollador de exploits trabajando con grandes contratistas militares estadounidenses y vendiendo los bugs (errores de software) a varios clientes gubernamentales. En este sector que suele valorar el código de silencio, la empresa a veces atraía la atención del público.
"El FBI investigará a fondo a las personas y empresas que se benefician de la actividad de ciberdelito. Este es un mensaje claro para todos... existe un riesgo y habrá consecuencias", Brandon Vorndran, FBI.
"Accuvant representa una parte positiva de la ciberguerra: un mercado en auge", escribió en Rolling Stone el periodista David Kushner en un perfil de la empresa en 2013 y señaló que era el tipo de compañía "capaz de crear software personalizado que podría ingresar a sistemas externos y recopilar inteligencia o incluso desactivar un servidor, algo por lo que se les podía pagar hasta un millón de dólares".
Optiv abandonó en gran medida el mundo del hackeo tras varias fusiones y adquisiciones, pero la red de antiguos empleados de Accuvant es fuerte y sigue trabajando en los exploits. Dos trabajadores de alto nivel cofundaron la empresa Grayshift de hackeo de iPhone, conocida por sus habilidades para desbloquear los dispositivos.
Accuvant vendía los exploits de hackeo a distintos clientes tanto gubernamentales como del sector privado, incluidos los de Estados Unidos y sus aliados, y este en concreto también se vendió simultáneamente a muchos otros clientes, según la información a la que ha tenido acceso MIT Technology Review.
Los fallos de iMessage
El exploit de iMessage es uno de los varios fallos críticos en la app de mensajería que se han descubierto y aprovechado en los últimos años. La actualización del sistema operativo del iPhone en 2020 apareció con una reconstrucción completa de la seguridad de iMessage en un intento de volver más difícil atacar la app.
La nueva función de seguridad, denominada BlastDoor, aísla la app del resto del iPhone y dificulta el acceso a la memoria de iMessage, la principal forma en la que los atacantes podían apoderarse del teléfono de un objetivo.
iMessage es un gran objetivo de los hackers por una buena razón. La app se incluye de forma predeterminada en todos los dispositivos de Apple. Acepta mensajes entrantes de cualquier persona que conozca el número del propietario del dispositivo. No hay forma de desinstalarla, ni de inspeccionarla, no hay nada que un usuario pueda hacer para defenderse de este tipo de amenaza más allá de descargar lo antes posible todas las actualizaciones de seguridad de Apple.
BlastDoor hizo que atacar iMessage fuera más difícil, pero la app sigue siendo el objetivo favorito de los hackers. El lunes de la semana pasada, Apple reveló un exploit que, según los informes, había utilizado la empresa israelí de software espía NSO Group para esquivar la protección de BlastDoor y apoderarse del iPhone a través de otro error diferente en iMessage. Apple no ha querido comentarlo.