Un error inusual en el software espía de NSO permitió que la activista por los derechos de las mujeres saudíes, Loujain Al-Hathloul, y los investigadores de privacidad descubrieran una gran cantidad de evidencia que sugería que el fabricante israelí de software espía había ayudado a piratear su iPhone, según seis personas involucradas en el incidente. Un misterioso archivo de imagen falso dentro de su teléfono, dejado por error por el software espía, avisó a los investigadores de seguridad.
El descubrimiento del teléfono de Al-Hathloul, el año pasado, desató una tormenta de acciones legales y gubernamentales que han puesto a la NSO a la defensiva. Aquí se informa por primera vez cómo se descubrió inicialmente el hackeo.
Al-Hathloul, una de las activistas más prominentes de Arabia Saudita, es conocida por ayudar a liderar una campaña para poner fin a la prohibición de conducir mujeres en Arabia Saudita. Fue liberada de la cárcel en febrero de 2021 por cargos de dañar la seguridad nacional.
Poco después de su liberación de la cárcel, la activista recibió un correo electrónico de Google advirtiéndole que piratas informáticos respaldados por el estado habían intentado acceder a su cuenta de Gmail. Temerosa de que su iPhone también hubiera sido pirateado, Al-Hathloul contactó al grupo canadiense de derechos de privacidad, Citizen Lab, y les pidió que investigaran su dispositivo en busca de evidencia, dijeron a Reuters tres personas cercanas a Al-Hathloul.
Después de seis meses de revisar los registros de su iPhone, el investigador de Citizen Lab, Bill Marczak, hizo lo que describió como un descubrimiento sin precedentes: un mal funcionamiento en el software de vigilancia implantado en su teléfono había dejado una copia del archivo de imagen malicioso, en lugar de borrarse. , tras robar los mensajes de su objetivo.
Dijo que el hallazgo, el código de computadora dejado por el ataque, proporcionó evidencia directa de que NSO construyó la herramienta de espionaje.
"Fue un cambio de juego", dijo Marczak, "Atrapamos algo que la compañía pensó que era inalcanzable".
El descubrimiento equivalía a un plan de piratería y llevó a Apple Inc a notificar a miles de otras víctimas de piratería respaldadas por el estado en todo el mundo, según cuatro personas con conocimiento directo del incidente.
El hallazgo de Citizen Lab y Al-Hathloul proporcionó la base para la demanda de Apple de noviembre de 2021 contra NSO y también repercutió en Washington, donde los funcionarios estadounidenses se enteraron de que el arma cibernética de NSO se utilizó para espiar a diplomáticos estadounidenses.
En los últimos años, la industria del software espía ha disfrutado de un crecimiento explosivo a medida que los gobiernos de todo el mundo compran software de piratería telefónica que permite el tipo de vigilancia digital que alguna vez estuvo al alcance de unas pocas agencias de inteligencia de élite.
Durante el año pasado, una serie de revelaciones de periodistas y activistas, incluida la colaboración internacional de periodismo, Pegasus Project, vinculó a la industria del software espía con violaciones de derechos humanos, lo que generó un mayor escrutinio de NSO y sus pares.
Pero los investigadores de seguridad dicen que el descubrimiento de Al-Hathloul fue el primero en proporcionar un modelo de una nueva y poderosa forma de ciberespionaje, una herramienta de piratería que penetra en los dispositivos sin ninguna interacción por parte del usuario, brindando la evidencia más concreta hasta la fecha del alcance de El arma.
En un comunicado, un portavoz de NSO dijo que la compañía no opera las herramientas de piratería que vende: "las agencias gubernamentales, policiales y de inteligencia sí lo hacen". El portavoz no respondió preguntas sobre si su software se usó para atacar a Al-Hathloul u otros activistas.
Pero el portavoz dijo que las organizaciones que hacían esas afirmaciones eran "opositores políticos de la ciberinteligencia" y sugirió que algunas de las acusaciones eran "contractual y tecnológicamente imposibles". El portavoz se negó a proporcionar detalles, citando acuerdos de confidencialidad del cliente.
Sin entrar en detalles, la compañía dijo que tenía un procedimiento establecido para investigar el supuesto mal uso de sus productos y que había cortado a los clientes por cuestiones de derechos humanos.
Al-Hathloul tenía buenas razones para sospechar: no era la primera vez que la vigilaban.
Una investigación de Reuters de 2019 reveló que en 2017 fue atacada por un equipo de mercenarios estadounidenses que vigilaban a los disidentes en nombre de los Emiratos Árabes Unidos bajo un programa secreto llamado "Proyecto Raven", que la categorizaba como una "amenaza a la seguridad nacional" y pirateaba su iPhone.
Fue arrestada y encarcelada en Arabia Saudita durante casi tres años, donde su familia dice que fue torturada e interrogada y que utilizó información robada de su dispositivo. Al-Hathloul fue liberado en febrero de 2021 y actualmente tiene prohibido salir del país.
Reuters no tiene evidencia de que NSO haya estado involucrada en ese ataque anterior.
La experiencia de vigilancia y encarcelamiento de Al-Hathloul hizo que se decidiera a recopilar pruebas que pudieran usarse contra quienes manejan estas herramientas, dijo su hermana, Lina Al-Hathloul. "Ella siente que tiene la responsabilidad de continuar esta lucha porque sabe que puede cambiar las cosas".
El tipo de software espía que Citizen Lab descubrió en el iPhone de Al-Hathloul se conoce como "clic cero", lo que significa que el usuario puede infectarse sin siquiera hacer clic en un enlace malicioso.
El malware de clic cero generalmente se elimina solo al infectar a un usuario, lo que deja a los investigadores y las empresas tecnológicas sin una muestra del arma para estudiar. Eso puede hacer que la recopilación de pruebas sólidas de los hackeos de iPhone sea casi imposible, dicen los investigadores de seguridad.
Pero esta vez era diferente.
La falla del software dejó una copia del spyware oculta en el iPhone de Al-Hathloul, lo que permitió a Marczak y su equipo obtener un plano virtual del ataque y evidencia de quién lo había construido.
"Aquí teníamos el casquillo de la escena del crimen", dijo.
Marczak y su equipo descubrieron que el software espía funcionaba, en parte, al enviar archivos de imágenes a Al-Hathloul a través de un mensaje de texto invisible.
Los archivos de imagen engañaron al iPhone para que diera acceso a toda su memoria, eludiendo la seguridad y permitiendo la instalación de software espía que robaría los mensajes de un usuario.
El descubrimiento de Citizen Lab proporcionó evidencia sólida de que NSO construyó el arma cibernética, dijo Marczak, cuyo análisis fue confirmado por investigadores de Amnistía Internacional y Apple, según tres personas con conocimiento directo de la situación.
El software espía encontrado en el dispositivo de Al-Hathloul contenía un código que mostraba que se estaba comunicando con servidores que Citizen Lab identificó previamente como controlados por NSO, dijo Marczak. Citizen Lab llamó a este nuevo método de pirateo de iPhone "ForcedEntry". Luego, los investigadores proporcionaron la muestra a Apple en septiembre pasado.
Tener un plano del ataque en la mano permitió a Apple reparar la vulnerabilidad crítica y los llevó a notificar a miles de otros usuarios de iPhone que fueron atacados por el software NSO, advirtiéndoles que habían sido atacados por "ataques patrocinados por el estado".
Era la primera vez que Apple daba este paso.
Si bien Apple determinó que la gran mayoría fueron atacados a través de la herramienta de NSO, los investigadores de seguridad también descubrieron que el software espía de un segundo proveedor israelí, QuaDream, aprovechó la misma vulnerabilidad del iPhone, informó Reuters a principios de este mes. QuaDream no ha respondido a las repetidas solicitudes de comentarios.
Las víctimas iban desde disidentes críticos con el gobierno de Tailandia hasta activistas de derechos humanos en El Salvador.
Citando los hallazgos obtenidos del teléfono de Al-Hathloul, Apple demandó a NSO en noviembre en un tribunal federal, alegando que el fabricante de spyware había violado las leyes de EE. UU. al crear productos diseñados "para atacar, atacar y dañar a los usuarios de Apple, los productos de Apple y Apple". Apple le dio crédito a Citizen Lab por proporcionar "información técnica" utilizada como evidencia para la demanda, pero no reveló que se obtuvo originalmente del iPhone de Al-Hathloul.
NSO dijo que sus herramientas han ayudado a las fuerzas del orden público y han salvado "miles de vidas". La compañía dijo que algunas de las acusaciones atribuidas al software NSO no eran creíbles, pero se negó a dar más detalles sobre afirmaciones específicas citando acuerdos de confidencialidad con sus clientes.
Entre los que Apple advirtió había al menos nueve empleados del Departamento de Estado de EE. UU. en Uganda que fueron atacados con el software NSO, según personas familiarizadas con el asunto, lo que provocó una nueva ola de críticas contra la compañía en Washington.
En noviembre, el Departamento de Comercio de EE. UU. colocó a NSO en una lista negra comercial, restringiendo a las empresas estadounidenses de vender productos de software de la firma israelí, amenazando su cadena de suministro.
El Departamento de Comercio dijo que la acción se basó en la evidencia de que el software espía de NSO se usó para atacar a "periodistas, empresarios, activistas, académicos y trabajadores de embajadas".
En diciembre, el senador demócrata Ron Wyden y otros 17 legisladores pidieron al Departamento del Tesoro que sancionara a NSO Group y otras tres empresas de vigilancia extranjeras que, según dicen, ayudaron a gobiernos autoritarios a cometer abusos contra los derechos humanos.
"Cuando el público vio que hackeaban a figuras del gobierno de EE. UU., claramente movió la aguja", dijo Wyden a Reuters en una entrevista, refiriéndose a los ataques contra funcionarios estadounidenses en Uganda.
Lina Al-Hathloul, la hermana de Loujain, dijo que los golpes financieros a NSO podrían ser lo único que pueda disuadir a la industria del spyware. "Les golpeó donde más les duele", dijo.