Vigilancia a sueldo: ¿Es usted un objetivo del floreciente negocio de los espías?

Meta ha denunciado y actuado contra entidades que han estado espiando a personas y organizaciones en todo el mundo. Descubra cómo operan los actores de amenazas y aprenda lo que puede hacer para protegerse.

scyther5, Getty Images / iStockphoto

En las turbias aguas de Internet nadan varios actores de amenazas especializados en la ejecución de servicios de vigilancia. Mientras que los más avanzados están patrocinados por el estado, otros son empresas privadas que venden servicios ofensivos. Detrás de las afirmaciones de que solo están haciendo piratería ética, la mayoría de ellos no tienen problemas para trabajar como mercenarios, sin importarles en absoluto la ética. Cualquier individuo o cualquier empresa puede convertirse en su objetivo, siempre y cuando alguien pague para espiarlos.

Siete empresas expuestas por Meta

En un informe reciente, Meta (antes Facebook) expuso e interrumpió las actividades de siete entidades que apuntaban a personas de todo el mundo en más de cien países. Esas entidades se originaron en China, India, Israel y Macedonia del Norte.

Los siete proporcionaron herramientas de software de intrusión y servicios de vigilancia que, según Facebook, atacaban regularmente a periodistas, disidentes, críticos de regímenes autoritarios, familias de la oposición y activistas de derechos humanos en todo el mundo. Esos servicios se venden a casi cualquier persona o entidad que los necesite y son ilegales.

Se necesitan tres pasos para brindar completamente su servicio de vigilancia:

Reconocimiento: Este es el paso inicial que consiste principalmente en perfilar el objetivo y recopilar información útil sobre él.Compromiso: Esta parte consiste en entablar contacto con el objetivo o personas cercanas a él en un esfuerzo por generar suficiente confianza para atraer al objetivo a descargar / ejecutar archivos o hacer clic en los enlaces infectados. Aquí es donde entran en juego la ingeniería social y la experiencia de ataque. Los atacantes pueden utilizar perfiles de redes sociales falsos y llegar directamente a sus objetivos.Explotación: Este es el paso final en la configuración de la operación de vigilancia. El objetivo es comprometer los dispositivos de destino y comenzar a habilitar la vigilancia. Si bien las herramientas y los exploits utilizados en esta etapa varían mucho desde una perspectiva técnica, generalmente el atacante puede desde este momento acceder a cualquier información en el teléfono o computadora del objetivo, incluidas contraseñas, cookies, tokens de acceso, fotos, videos, mensajes y direcciones. libros. El atacante también podría activar silenciosamente el micrófono, la cámara y el seguimiento de ubicación geográfica del dispositivo.

VER: Cómo migrar a un nuevo iPad, iPhone o Mac (TechRepublic Premium)

Meta expuso las actividades de las siete entidades y qué tipo de acciones brindan en la cadena de vigilancia. Tomó acciones contra los siete:

«Para ayudar a interrumpir estas actividades, bloqueamos la infraestructura relacionada, prohibimos estas entidades en nuestra plataforma y emitimos advertencias de cese y desistimiento, notificando a cada uno de ellos que su objetivo de personas no tiene lugar en nuestra plataforma y va en contra de nuestros Estándares de la comunidad. Nosotros también compartimos nuestros hallazgos con investigadores de seguridad, otras plataformas y legisladores para que ellos también puedan tomar las medidas adecuadas. También notificamos a las personas que creemos fueron atacadas para ayudarlas a tomar medidas para fortalecer la seguridad de sus cuentas «.

Meta ha cerrado varios cientos de cuentas de redes sociales falsas utilizadas por los siete y alertó a más de 50.000 personas que estaban siendo atacadas por esas entidades.

Un gran negocio borroso

Además del informe Meta, varias investigaciones de investigadores de amenazas en los últimos años han tenido como objetivo exponer a las empresas especializadas en seguridad de TI con partes o todos sus servicios enfocados en «piratería ética», «seguridad ofensiva», «pruebas de penetración avanzada». «y» servicios de detective cibernético «, entre otros términos utilizados.

Estas empresas suelen utilizar descripciones de servicios que a veces son vagas, o todo lo contrario: bastante precisas (Figura A y Figura B).

Figura A

Una descripción de los servicios de BellTroX, una empresa con sede en India expuestos en el informe Meta

Imagen: archive.org

Figura B

Un servicio de piratería de correo electrónico proporcionado por Appin Security en 2011, una ex empresa con sede en India

Imagen: archive.org

Citizen Lab ha recopilado litigios y otras quejas formales.

Un ejemplo sorprendente: el malware Pegasus

El marco de malware Pegasus desarrollado por una empresa con sede en Israel llamada NSO Group ha sido expuesto desde 2016 por Citizen Lab. Es un software espía destinado a infectar teléfonos móviles con sistemas operativos iOS y Android, con capacidades para proporcionar acceso completo a los mensajes, correos electrónicos, medios, micrófono, cámara, llamadas y contactos del dispositivo.

Recientemente, los investigadores de seguridad del Project Zero Team de Google publicaron un análisis técnico de un exploit utilizado por Pegasus, un exploit de cero clic basado en iMessage que utiliza la vulnerabilidad CVE-2021-30860. Los investigadores lo consideran uno de los exploits técnicamente más sofisticados que jamás hayan visto. También mencionan que está «demostrando que las capacidades que ofrece NSO rivalizan con las que antes se pensaba que eran accesibles solo para un puñado de estados nacionales».

Pegasus se ha dirigido a varios tipos de objetivos en diferentes países para los clientes del grupo NSO. Estos objetivos pueden ser ejecutivos de empresas, periodistas, abogados, activistas de derechos humanos, figuras religiosas o políticas, empleados de ONG, académicos, funcionarios gubernamentales e incluso familiares de algunos objetivos. Actualmente, hay demandas en curso contra NSO en varios países.

VER: Principales consejos de seguridad de Android (PDF gratuito) (TechRepublic)

¿Por qué debería importarles a las empresas?

No son solo las personas las que son el objetivo de las entidades de vigilancia por contrato. Las empresas también pueden ser blanco de ataques. Los atacantes podrían apuntar a empleados sensibles, como directores o altos ejecutivos, pero también a cualquier empleado solo para obtener acceso a la red corporativa. Una vez hecho esto, explorarán la red o se dirigirán directamente a las cuentas de las personas que saben que tendrán la información que desean. Los atacantes pueden tener acceso permanente por la puerta trasera a los correos electrónicos, mensajes telefónicos y llamadas de los objetivos, o incluso monitorear todas las acciones diarias de sus objetivos.

Además de la vigilancia, los atacantes pueden comenzar a robar información como propiedad intelectual o secretos industriales, hojas de ruta de productos sensibles o cualquier información útil que pueda ayudar a la inteligencia competitiva.

¿Cómo pueden protegerse las empresas?

Las empresas deben redoblar sus esfuerzos para detectar el compromiso inicial en sus redes, en los servidores y endpoints habituales, pero también en todos los teléfonos inteligentes utilizados en la empresa.

Las empresas deben:

Mantenga los sistemas y el software siempre actualizados. Implemente siempre los parches lo antes posible. Esto podría evitar un compromiso inicial a través de una nueva vulnerabilidad. Ejecute auditorías de seguridad completas en redes y computadoras y corrija todo lo que deba cambiarse o actualizarse. Utilice sistemas de prevención de intrusiones / sistemas de detección de intrusiones (IPS / IDS).

Para los teléfonos inteligentes, deberían:

Mantenga siempre actualizado el sistema operativo; implemente herramientas de seguridad en todos los teléfonos inteligentes y manténgalas actualizadas; prohíba la instalación de aplicaciones innecesarias en los dispositivos; use solo fuentes de aplicaciones confiables; verifique los permisos de todas las aplicaciones; no use Wi-Fi público. Tenga cuidado con las estafas de ingeniería social. No responda ni haga clic en enlaces provenientes de terceros no identificados o de colegas sin verificar a través de un segundo canal (una llamada de otro teléfono, por ejemplo) que realmente proviene de ellos.

Divulgar: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

Ver también