Justo al norte de una arteria perennemente atascada, intercalada entre el complejo de la embajada francesa y un edificio administrativo de la universidad, un monolito beige con un haz vertical en sus ventanal, ubicado lejos de la ruta, protegido por una hilera de altas barreras y mujeres vestidas de fajina con armas largas. El edificio pertenece a la Dirección General de Seguridad General de Líbano, una de las diversas agencias de seguridad del país, que está a cargo de la inteligencia de seguridad nacional. Según un nuevo informe, este edificio es también el hogar de una amplia operación de espionaje que abarcó cinco años y más de 20 países.
El informe, publicado el jueves por la compañía estadounidense de investigación de seguridad Lookout y la Electronic Frontier Foundation, nombró al grupo detrás de la operación “Dark Caracal”, en honor a una elusiva nativa originaria de Medio Oriente y África. Las investigadoras conectaron al grupo con al menos seis campañas de vigilancia dirigidas a funcionarias gubernamentales, académicas, periodistas y empresas de todo el mundo, incluso en Medio Oriente, Europa y Estados Unidos.
Están sucediendo muchas cosas, pero quizás la más inusual es que la primera vez que las investigadoras ven las herramientas que Dark Caracal usó para sus operaciones de espionaje. La EFF y Lookout comenzaron a rastrear al grupo después de que la primera informara sobre una campaña de espionaje en 2015 en Kazajstán dirigida contra disidentes y periodistas. La infraestructura digital utilizada para lanzar esos ataques, según descubrieron más tarde, es la misma utilizada para las campañas de vigilancia en Beirut.
El hecho de que dos operaciones aparentemente no relacionadas (Dark Caracal y la campaña de Kazajstán) compartieran características técnicas sugiere un contexto más grande. Podría significar que una tercera desconocida ofrezca infraestructura y malware a varias clientas de un estado-nación para piratear campañas. Eso sugeriría que ambas operaciones son parte de un grupo más grande de ataques que usa las mismas herramientas.
“No creemos que sea probable que Dark Caracal esté administrando esta infraestructura”, dijo Cooper Quintin, una investigadora de seguridad de EFF y una de las autoras del informe. “Creemos que es mucho más probable que esta infraestructura esté dirigida por una tercera desconocida que también esté vendiendo sus servicios a Kazajistán y posiblemente a otros países”.
Es concebir la vigilancia gubernamental como un servicio de pago.
El informe de esta semana sólo insinuó a esa tercera, pero Quintin dijo que las investigadoras ya están trabajando para identificarla. “Tenemos algunas ideas”, dijo.
Esta es una marcada desviación de la forma en que generalmente funciona la vigilancia de un estado nación. Los gobiernos, especialmente aquellos que no tienen un banco profundo de talentos locales, a menudo compran herramientas de vigilancia de las empresas: basta con mirar la larga lista de gobiernos que compraron software de espionaje de Hacking Team, una compañía italiana que fue filtrada en 2015. Pero lo que sucede aquí parece ir un par de pasos más. En lugar de adquirir una herramienta de ataque y usarla para espiar, Dark Caracal parece haber pagado a otra persona para que use la suya. “Se suscriben, y luego alguien les prepara todo”, dijo Quintin. “Y sólo tienen que iniciar sesión y descargar informes sobre las personas que están espiando”.
En cierto modo, esto significa que el software de espionaje digital no sólo está registrando las tendencias de la consumidora. Al igual que los productos de G Suite de Google, que están alojados en los servidores de Google y las clientas pagan para acceder, el informe describe un tipo de servicio de vigilancia basado en la nube. Simplemente no está claro dónde está esa nube.
El modelo comercial podría ser innovador, pero los métodos de espionaje que el informe reveló eran relativamente primitivos. Dark Caracal no usó códigos sofisticados ni equipos costosos: gran parte de su éxito provino de la antigua ingeniería social. Ellas (o el grupo al que contrataron para hackearlas) utilizaron trucos como configurar cuentas de Facebook falsas con fotos de mujeres árabes sonrientes para convencer a las destinatarias de descargar versiones falsas de plataformas de mensajería como WhatsApp. Estas aplicaciones luego envían transcripciones de chat completas a sus espías, además de otra información reveladora como ubicación GPS, listas de contactos y mensajes SMS. El malware incluso podría tomar fotos con las cámaras frontal y posterior del teléfono infectado, y grabar secretamente el audio del micrófono del dispositivo.
La magnitud de los esfuerzos de espionaje que emanan del edificio de Seguridad General es sorprendente, dijo Mohamad Najem, codirectora de SMEX, una organización libanesa. También lo es la lista de países donde las individuos fueron blanco, muchas son aliadas de Líbano. Najem cuestionó si la operación siguió el proceso legal normal, que requiere supervisión judicial y sólo permite la vigilancia específica durante un período de tiempo limitado. “Hacen lo que quieren, sin ningún procedimiento legal, y eso es muy peligroso”, dijo.
Las solicitudes de comentarios de Seguridad general no recibieron respuesta. Antes de la publicación del informe, la mayor general Abbas Ibrahim, jefa de la agencia, dijo a Reuters: “La seguridad general no tiene este tipo de capacidades. Ojalá tuviéramos estas capacidades “.
La operación basada en Beirut se abrió cuando las investigadoras de EFF y Lookout encontraron más de 80 gigabytes de datos robados, cientos de miles de mensajes de texto, registros de llamadas, contactos y otras cosas buenas en un servidor abierto no seguro. Una vez que las investigadoras localizaron el servidor, sólo fue cuestión de adivinar varios nombres de carpetas de tres caracteres: wp7, wp8, wp9 … “Estábamos navegando por la web”, dijo Quintin. “No hubo hackers involucradas”.
El enfoque de la campaña en dispositivos móviles se diferenció de otros esfuerzos de espionaje masivo: las investigadoras lo llamaron “uno de los más prolíficos que hemos visto hasta la fecha” cuando se trataba de robar datos móviles. Además, creen que el tesoro que encontraron a simple vista sólo representa un pequeño rincón de la vigilancia habilitada por la misma infraestructura que Dark Caracal utilizó. “Otras investigadoras nos han dado a entender que hay otras clientas” además de Caracal y Kazajistán, dijo Quintin, eligiendo cuidadosamente sus palabras.
No está claro quién cometió el error básico que quemó la operación del ataque. Podría haber sido el grupo Dark Caracal, dijo Quintin, pero también podría haber sido un trabajo de mala calidad por parte de la misteriosa vendedora de herramientas de ciberataque.
Examinando los archivos que descubrieron en el servidor, las investigadoras encontraron un puñado de dispositivos configurados de manera similar que parecía aparecer una y otra vez. Supusieron que estaban mirando los dispositivos de prueba de las atacantes informáticas, por lo que echaron un vistazo más de cerca a las redes Wi-Fi a las que se habían conectado. Una red Wi-Fi que tenían en común se llamaba “Bld3F6”, que las investigadoras ubicaron en un lugar cerca del edificio de la Seguridad General en Beirut. Una periodista de AP que pasó por el edificio el miércoles descubrió que la red todavía estaba transmitiendo, pero cuando fue a la sede de Seguridad General el viernes, la red ya no estaba. Se ha ocultado, cambiado de nombre o se ha desconectado.
Vía The Atlantic