Una falla en el software de Apple explotada por la firma de vigilancia israelí NSO Group para ingresar a los iPhone en 2021 estaba siendo abusada simultáneamente por una compañía competidora, según cinco personas familiarizadas con el asunto. QuaDream, dicen las fuentes, es una empresa israelí más pequeña y de bajo perfil que también desarrolla herramientas de piratería de teléfonos inteligentes para clientes gubernamentales.
Las dos compañías rivales obtuvieron la misma capacidad el año pasado para ingresar de forma remota a los teléfonos iPhone, según las cinco fuentes, lo que significa que ambas compañías podrían comprometer los teléfonos Apple sin que el propietario tenga que abrir un enlace malicioso. El hecho de que dos compañías usaran la misma técnica de piratería sofisticada, conocida como “clic cero”, muestra que los teléfonos son más vulnerables a las poderosas herramientas de espionaje digital de lo que la industria puede admitir, dijo un experto.
“La gente quiere creer que está a salvo y las compañías telefónicas quieren que creas que lo están. Lo que hemos aprendido es que no lo están”, dijo Dave Aitel, socio de Cordyceps Systems, una firma de ciberseguridad.
Los expertos que analizan las intrusiones diseñadas por NSO Group y QuaDream desde el año pasado creen que las dos empresas utilizaron exploits de software muy similares, conocidos como ForcedEntry, para secuestrar iPhones.
Un exploit es un código de computadora diseñado para explotar una serie de vulnerabilidades de software específicas al otorgar a un pirata informático acceso no autorizado a los datos.
Los analistas creían que los exploits de NSO y QuaDream eran similares porque explotaban muchas de las mismas vulnerabilidades ocultas en lo profundo de la plataforma de mensajería instantánea de Apple y usaban un enfoque comparable para instalar software malicioso en dispositivos específicos, según tres de las fuentes.
Bill Marczak, un investigador de seguridad del organismo de control digital Citizen Lab que estudió las herramientas de piratería informática de ambas empresas, dijo a Reuters que la capacidad de clic cero de QuaDream parecía “a la par” de la de NSO.
Reuters ha intentado repetidamente contactar a QuaDream para obtener comentarios, enviando mensajes a ejecutivos y socios comerciales. Un reportero de Reuters visitó la semana pasada la oficina de QuaDream en el suburbio de Ramat Gan en Tel Aviv, pero nadie abrió la puerta. La abogada israelí Vibeke Dank, cuyo correo electrónico figuraba en el formulario de registro corporativo de QuaDream, tampoco devolvió mensajes repetidos.
Un portavoz de Apple se negó a comentar sobre QuaDream o decir qué acciones tenían la intención de tomar hacia la empresa.
ForcedEntry es visto como “uno de los exploits técnicamente más sofisticados” jamás capturado por los investigadores de seguridad.
Las dos versiones de ForcedEntry eran tan similares que cuando Apple solucionó las fallas subyacentes en septiembre de 2021, tanto el software espía de NSO como el de QuaDream quedaron ineficaces, según dos personas familiarizadas con el asunto.
En una declaración escrita, un portavoz de NSO dijo que la empresa “no se ha asociado” con QuaDream, pero que “la industria de la inteligencia cibernética continúa creciendo rápidamente a nivel mundial”.
Apple demandó a NSO Group por ForcedEntry en noviembre, alegando que NSO violó los términos y acuerdos de servicios de Apple para los usuarios. El caso aún está en sus primeras etapas.
En su demanda, Apple dijo que “rechaza continua y exitosamente una serie de intentos de piratería”. NSO ha negado haber actuado mal.
Las empresas de software espía han argumentado durante mucho tiempo que están vendiendo tecnología de alta potencia para ayudar a los gobiernos a contrarrestar las amenazas a la seguridad nacional. Pero los grupos de derechos humanos y los periodistas han documentado repetidamente el uso de spyware para atacar a la sociedad civil, socavar la oposición política e interferir en las elecciones.
Apple notificó a miles de objetivos de ForcedEntry en noviembre, insinuando a los funcionarios electos, periodistas y trabajadores de derechos humanos de todo el mundo que habían sido puestos bajo vigilancia.
En Uganda, por ejemplo, ForcedEntry de la NSO se utilizó para espiar a los diplomáticos estadounidenses, informó Reuters.
Además de la demanda de Apple, WhatsApp de Meta también está en litigio por el presunto abuso de su plataforma. En noviembre, el Departamento de Comercio de los Estados Unidos colocó a la NSO en una lista negra comercial por cuestiones de derechos humanos.
A diferencia de NSO, QuaDream ha mantenido un perfil más bajo a pesar de atender a algunos de los mismos clientes gubernamentales. La compañía no tiene un sitio web que anuncie su negocio, y se les ha dicho a los empleados que mantengan cualquier referencia a su empleador fuera de las redes sociales, según una persona familiarizada con la compañía.
REINO
QuaDream fue fundada en 2016 por Ilan Dabelstein, ex oficial militar israelí, y dos ex empleados de NSO, Guy Geva y Nimrod Reznik, según documentos de la empresa israelí y dos personas familiarizadas con el negocio. Reuters no pudo comunicarse con los tres ejecutivos para hacer comentarios.
Al igual que el software espía Pegasus de NSO, el producto estrella de QuaDream, llamado REIGN, podría tomar el control de un teléfono inteligente y recopilar mensajes instantáneos de servicios como WhatsApp, Telegram y Signal, así como correos electrónicos, fotos, textos y contactos, según dos folletos de productos de 2019 y 2020 que fueron revisados por Reuters.
Las características de la “Colección Premium” de REIGN incluían “grabaciones de llamadas en vivo”, “activación de cámara: frontal y posterior” y “activación de micrófono”, decía un folleto.
Los precios parecían variar. Según el folleto de 2019, se ofrecía un sistema QuaDream, que supuestamente ofrecía a los clientes la capacidad de lanzar 50 incursiones de teléfonos inteligentes por año, por $ 2,2 millones (aproximadamente Rs. 16 millones de rupias) netos de costos de mantenimiento. Dos personas familiarizadas con las ventas de software dijeron que el precio de REIGN era generalmente más alto.
A lo largo de los años, QuaDream y NSO Group han empleado algunos de los mismos talentos de ingeniería, según tres personas familiarizadas con el tema. Dos de estas fuentes dijeron que las empresas no cooperaron en la piratería de su iPhone, ideando sus propias formas de explotar las vulnerabilidades.
Muchos de los compradores de QuaDream también se han superpuesto a NSO, dijeron cuatro fuentes, incluidas Arabia Saudita y México, acusadas de hacer un mal uso del software de espionaje para atacar a los opositores políticos.
Uno de los primeros clientes de QuaDream fue el gobierno de Singapur, dijeron dos de las fuentes, y la documentación revisada por Reuters muestra que la tecnología de vigilancia de la compañía también se presentó al gobierno de Indonesia. Reuters no pudo determinar si Indonesia se había convertido en cliente.
Funcionarios mexicanos, singapurenses, indonesios y saudíes no respondieron mensajes en busca de comentarios sobre QuaDream.
© Thomson Reuters 2021