Personas Bfavorite_border
Sociedad
Seguridad
Política
Cultura
País
Editorial
Plumas B
search
Hoy en LadoB
Llega a Cholula la primera edición del Festival Unts Unts
Formar valientes: educar para envejecer 
Eclipse solar en el zócalo de Puebla
Vivir en un Chevy: Así “investiga” la fiscalía de Puebla las desapariciones
La manifestación como motor de cambio social
Llega a Cholula la primera edición del Festival Unts Unts
Formar valientes: educar para envejecer 
Eclipse solar en el zócalo de Puebla
Vivir en un Chevy: Así “investiga” la fiscalía de Puebla las desapariciones
La manifestación como motor de cambio social
País
Portada
Lado B
Promotores del impuesto al refresco, espiados con malware gubernamental
Recibieron SMS con links que permitían a los hackers tomar el control de sus teléfonos y comenzar a vigilarlos a través de malware
Por Lado B @ladobemx
12 de febrero, 2017
Comparte

Ej2

Red en Defensa de los Derechos Digitales

El 8 de julio de 2016, Alejandro Calvillo, director de El Poder del Consumidor, recibió un SMS notificándole que el padre de un amigo acababa de fallecer. Adjunto a las palabras, se encontraba un enlace. Dos días después, el 11 de julio, Calvillo recibió otro; esta vez, el mensaje le alertaba, en mayúsculas, que la PGR había abierto una investigación a empleados de una clínica por negligencia y actos ilícitos.

IMG_2017-02-11 14:10:34

Alejandro no fue el único en recibir estos mensajes. El mismo 11 de julio, el Dr. Simón Barquera, investigador del Instituto Nacional de Salud Pública, recibió uno sobre una supuesta aparición suya en el semanario Proceso: “Alejandro buen dia, te envio esta nota de proceso donde hacen mencion de tu nombre, se esta viralizando mira:” (sic). El 12 de julio, a Luis Encarnación, director de la coalición ContraPESO, también le llegó el mismo mensaje.

Todos los SMS tenían una constante: incluían un enlace al final. Igualmente, todas las personas que los recibieron tenían algo en común: había propuesto el impuesto a bebidas azucaradas en 2014 y, el 29 de junio de 2016 –una semana antes de la aparición de los mensajes–, habían dado una conferencia de prensa sobre lanzar una campaña para aumentar dicho gravamen y pedir rendición de cuentas sobre cómo se estaba usando el dinero recaudado.

Los mensajes se parecían mucho a unos identificados previamente por el Citizen Lab de la Universidad de Toronto como vectores de infección del malware Pegasus, comercializado por la firma NSO Group a los gobiernos del mundo, incluido el mexicano, para labores de espionaje. Algunos enlaces, incluso, presentaban un dominio vinculado con la infraestructura de dicho software malicioso.

De haber hecho clic en los mensajes, un programa se habría instalado inadvertidamente en los teléfonos móviles de los objetivos, brindándole acceso a los atacantes a todos los archivos guardados en el dispositivo, así como capacidades para utilizar la cámara, el micrófono, el GPS, entre otros.

Por ese motivo, en agosto de 2016, la Red en Defensa de los Derechos Digitales (R3D) y SocialTIC, a través de Access Now, contactaron al Citizen Lab y a Amnistía Internacional acerca de los mensajes recibidos por Barquera, Calvillo y Encarnación. La investigación dio como resultado el informe Bitter Sweet: Supporters of Mexico’s Soda Tax Targeted With NSO Exploit Links, publicado el 11 de febrero de 2017, donde se detalla cómo el malware de NSO ha sido empleado para el espionaje de estos activistas. El caso también se encuentra documentado en el reportaje Restricted Spyware Used to Hack Advocates of Mexico’s Soda Tax, publicado el mismo día en The New York Times.

¿Qué es Pegasus y cómo funciona?

El 24 de agosto de 2016, el Citizen Lab de la Universidad de Toronto lanzó el informe The Million Dollar Dissident: NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defender. En dicho documento, los investigadores detallan el funcionamiento de Pegasus, y su uso en contra de Ahmed Mansoor, defensor de derechos humanos radicado en los Emiratos Árabes Unidos.

Mansoor había recibido mensajes de texto que supuestamente contenían “secretos” sobre los detenidos torturados en las cárceles de EAU. Dicha información podía ser consultada al hacer clic en un enlace. En lugar de acceder a la liga, Mansoor envió los mensajes de texto al Citizen Lab. Los investigadores reconocieron que los enlaces estaban relacionados con la infraestructura de NSO Group, una empresa de software de espionaje que comercializa Pegasus, un spyware de “intercepción legal” para gobiernos.

Los investigadores del Citizen Lab sospecharon que la infección se daba al hacer clic en el enlace enviado al objetivo, en cual dirigía hacia uno de los dominios de la infraestructura de NSO Group. Para comprobar esta hipótesis, los investigadores utilizaron un iPhone 5 nuevo con la misma versión de sistema operativo que el celular de Mansoor (iOS 9.3.3). Ingresaron manualmente la dirección URL proporcionada a Mansoor en el SMS en el navegador Safari. Al acceder el enlace, apareció una página en blanco y, posteriormente, el navegador se cerró. Mientras tanto, descubrieron que un software desconocido fue implantado en el dispositivo.

El Citizen Lab descubrió que Pegasus explotaba una vulnerabilidad de seguridad inédita (zero-day exploit) en el sistema operativo iOS, bautizada como Trident. A través de esta infección, se hacía jailbreak al dispositivo y se instalaba un sofisticado software que habría permitido al atacante tomar control de diferentes funciones y acceder a los contenidos del aparato. Entre los permisos adquiridos, se encuentran:

  • Acceso a la información guardada en el dispositivo como: archivos, datos del calendario, listas de contactos, contraseñas, entre otros.
  • Acceso a mensajes de texto, así como datos de otras aplicaciones como Gmail, WhatsApp, Skype, Facebook, Telegram.
  • Acceso a escuchar llamadas realizadas por teléfono, a través de WhatsApp o Viber.
  • Permisos para grabar activa o pasivamente utilizando el micrófono y la cámara del dispositivo.

Para que el objetivo haga clic en el enlace, el atacante debe asegurarse de engañar al objetivo. En la infraestructura de NSO Group, los dominios que pertenecen a esta buscan suplantar a otros sitios legítimos como medios de comunicación, servicios de telecomunicaciones, redes sociales, portales de gobierno, organizaciones humanitarias, aerolíneas, entre otros.

Los investigadores del Citizen Lab hallaron que, dentro de los dominios identificados dentro de la infraestructura de NSO Group, la mayoría refieren a México y los Emiratos Árabes Unidos. Entre los dominios con algún vínculo a sitios web en México se encontraron, entre otros:

  • Unonoticias.net
  • Univision.click
  • Iusacell-movil.com.mx
  • Y0utube.com.mx
  • Fb-accounts.com
  • Googleplay-store.com
  • Whatsapp-app.com

Dicho informe también citó el caso del periodista Rafael Cabrera, uno de los responsables de la investigación periodística de la Casa Blanca de Enrique Peña Nieto, quien recibió varios mensajes asociados con la infraestructura de NSO en agosto de 2015. El modus operandi, como se verá más adelante, es muy similar al de los casos de Barquera, Calvillo y Encarnación.

Seguir leyendo en el sitio de la R3D

Comparte
Autor Lado B
Lado B
Información, noticias, investigación y profundidad, acá no somos columnistas, somos periodistas. Contamos la otra parte de la historia. Contáctanos : info@ladobe.com.mx

PERIODISMO DE LO POSIBLE

CANIJO CONEJO

Canijo Conejo

Relacionadas
País
Videgaray, Cienfuegos, Duarte: los nombres detrás de los pagos a la red de espionaje con Pegasus
Animal Politico
País
Comunicado: Ataques con Pegasus a Griselda Triana, periodista y pareja de Javier Valdez, no deben quedar impunes
Lado B
Mundo
Guerra cibernética en venta
Lado B
País
Puebla, entre los 12 estados que espían ilegalmente celulares y computadoras de ciudadanos
Lado B
Invitado
Aumentan solicitudes de datos a telefónicas a raíz de la #LeyTelecom
Lado B
Notas de portada
Cultura
Llega a Cholula la primera edición del Festival Unts Unts
Mayra Guarneros
Educación Personalizante
Formar valientes: educar para envejecer 
Juan Martín López Calva
Portada
Eclipse solar en el zócalo de Puebla
Marlene Martínez
Portada
Vivir en un Chevy: Así “investiga” la fiscalía de Puebla las desapariciones
Aranzazú Ayala Martínez
Les morres de Girl Up hablan de...
La manifestación como motor de cambio social
Lado B
País
Líder criminal patrocinó la escalera más grande de México en la tierra de Miroslava Breach
Raichali .
Educación Personalizante
¿Siesta o soluciones? Ética y transformación social
Juan Martín López Calva
País
“A ellos no les vamos a abrir…”: ¿Qué pasó la noche del incendio en la estancia migratoria en Ciudad Juárez?
La Verdad de Juárez
País
La juventud neonazi crece en México
Pie de Página
País
Congelan en Baja California por años investigación sobre tortura sexual
Quinto Elemento Lab
Suscripcion